WPA3‑Enterprise com NPS (RADIUS) no Windows Server 2022: Guia Completo, EAP‑TLS, Troubleshooting e Boas Práticas

Quer pôr WPA3‑Enterprise para rodar com NPS (RADIUS) no Windows Server 2022 sem dor de cabeça? Este guia mostra por que não existe “WPA3” no NPS, como alinhar EAP, certificados e políticas, e como resolver o erro “EAP Type cannot be processed”.

Índice

Visão geral do problema

O cenário é clássico em migrações de Wi‑Fi corporativo: com WPA2/EAP tudo funciona — inclusive ACLs via RADIUS e correspondência por Called‑Station‑ID —, mas ao ativar WPA3‑Enterprise o cliente não autentica com credenciais do Active Directory. Em tentativas registradas, surgiu o erro:

The client could not be authenticated because the EAP Type cannot be processed by the server.

Também foi sugerido “habilitar Encryption: WPA3‑Enterprise” no NPS — porém essa opção não existe para redes Wi‑Fi 802.1X no NPS.

Ponto‑chave que evita horas de troubleshooting

Quem decide WPA2/WPA3 é o AP/controladora Wi‑Fi, não o NPS. No NPS você configura apenas os métodos EAP (PEAP, EAP‑TLS etc.) e as políticas de autorização. Para WLAN 802.1X, não há — e nem deve haver — um campo “Constraints ▸ Encryption ▸ WPA3‑Enterprise”. Esse menu, quando aparece, pertence a cenários de discagem/VPN (MPPE), não a Wi‑Fi.

Arquitetura em 30 segundos

Componente	Responsabilidade	Exemplos
AP/Controladora (WLAN)	Define padrão Wi‑Fi (WPA2/WPA3, PMF), cifras 802.11, SSID, VLAN/ACL dinâmicas, endereço/segredo RADIUS.	WPA3‑Enterprise, PMF “required”, modo de transição WPA2/WPA3.
NPS (RADIUS)	Valida credenciais via EAP, aplica políticas, atributos RADIUS (Filter‑Id, Tunnel‑Private‑Group‑ID etc.).	EAP‑TLS, PEAP‑MSCHAPv2, groups AD, Called‑Station‑ID, resposta Access‑Accept/Reject.
Cliente (supplicant)	Suporta WPA3 e o(s) EAP configurado(s), valida certificados, inicia a troca EAP.	Windows/macOS/iOS/Android com EAP‑TLS; gerenciamento via GPO/MDM.

Pré‑requisitos indispensáveis

AP/Controladora com WPA3‑Enterprise (idealmente Wi‑Fi 6/6E) e PMF 802.11w “required”.
NPS no Windows Server 2022 atualizado.
CA corporativa (AD CS ou PKI equivalente) para emitir:
- Certificado de servidor para o NPS (EKU Server Authentication);
- Certificados de usuário e/ou computador para EAP‑TLS (se utilizado).
Portas abertas entre AP ↔ NPS: UDP 1812/1813 (autenticação/contabilidade) e sincronismo NTP.
TLS 1.2 habilitado no NPS; TLS 1.3 se/onde suportado pelo sistema e EAP correspondente.

Como fazer o WPA3‑Enterprise funcionar com NPS

No AP/Controladora

Habilite o SSID com WPA3‑Enterprise (802.1X).
Considere o modo de transição WPA2/WPA3 para compatibilidade, sabendo que clientes legados poderão cair em WPA2.
Se o requisito for WPA3‑Enterprise 192‑bit (Suite‑B/CNSA), habilite explicitamente esse perfil (tipicamente exige SHA‑384 e GCMP‑256) e garanta que todos os clientes suportem EAP‑TLS.
Configure o(s) servidor(es) RADIUS/NPS:
- IP/FQDN do NPS, porta 1812, shared secret forte e único por AP/Controladora;
- Contabilidade (1813) se você usa bilhetagem de sessão ou auditoria.
Preserve a lógica de VLAN/ACL dinâmicas que já funciona no WPA2 (Filter‑Id, Tunnel‑Private‑Group‑ID, atributos específicos do fabricante, conforme seu ambiente).
Ative PMF 802.11w como “required” (WPA3 exige).

No NPS (Windows Server 2022)

Em RADIUS Clients and Servers, cadastre cada AP/controladora como RADIUS Client com o shared secret correspondente.
Crie/ajuste uma Connection Request Policy que encaminhe as solicitações para o próprio NPS (padrão em ambientes single‑NPS).
Crie uma Network Policy específica para o SSID corporativo (Wireless 802.11):
- Conditions:
  - NAS Port Type: Wireless – IEEE 802.11;
  - Windows Groups: grupos de usuários/computadores autorizados;
  - Called‑Station‑ID: restringe a política ao SSID (veja exemplos abaixo).
- Constraints ▸ Authentication Methods:
  - Recomendado: EAP‑TLS (Smart Card or other certificate) — máximo nível de segurança e obrigatório para WPA3 192‑bit;
  - Opcional: PEAP com EAP‑MSCHAPv2 pode funcionar em WPA3‑Enterprise (128‑bit), mas não atende o modo 192‑bit e é menos robusto que EAP‑TLS.
- Settings: mantenha os atributos padrão; se você usa Filter‑Id, Tunnel‑Type/Tunnel‑Medium‑Type/Tunnel‑Private‑Group‑ID para VLAN dinâmica, ou atributos específicos do fabricante, configure aqui como já faz no WPA2.
Certificados:
- O NPS deve apresentar um certificado de servidor válido (EKU Server Authentication), com chave privada e cadeia confiável aos clientes (inclua CA raiz/intermediárias).
- Para EAP‑TLS, emita e distribua certificados de usuário e/ou computador (GPO/MDM), com Subject/SAN adequados.
- No perfil 192‑bit, use certificados/associadas compatíveis (por exemplo, assinatura com SHA‑384 e chaves curvas/2048+ quando aplicável).
Garanta TLS 1.2 habilitado no servidor. TLS 1.3 pode ser utilizado se suportado por sistema/EAP; se não, TLS 1.2 é suficiente para WPA3‑Enterprise 128‑bit com EAP‑TLS.

Dica prática com Called‑Station‑ID

Para casar a política ao SSID, utilize expressão regular no atributo Called‑Station‑ID (formato típico BSSID:SSID):

.*:WiFi‑Corporativo
^[0-9A-F-]{17}:\s?WiFi‑Corporativo$

Por que funciona com WPA2/EAP e falha no WPA3?

No WPA3 (sobretudo 192‑bit), muitos ambientes exigem EAP‑TLS. Se sua Network Policy aceita apenas PEAP‑MSCHAPv2, o NPS rejeitará o EAP apresentado.
Em Transition Mode (WPA2/WPA3), um mesmo SSID pode aceitar clientes com perfis diferentes. Se o cliente/SSSID tenta um EAP que a sua política não permite, a autenticação falha.

Diagnóstico do erro “EAP Type cannot be processed”

Esse erro indica incompatibilidade de EAP entre o supplicant/AP e a sua Network Policy do NPS. Siga o roteiro abaixo:

Valide o EAP no cliente: o perfil Wi‑Fi precisa estar configurado para o mesmo EAP que a sua política (ex.: EAP‑TLS com validação da CA correta).
Cheque a ordem das políticas: a política específica do SSID deve vir antes de políticas genéricas. O NPS avalia de cima para baixo.
Event Viewer no NPS: Custom Views ▸ Server Roles ▸ Network Policy and Access Services. Eventos:
- 6273 (Access denied): mostra o EAP Type recebido e a razão da falha;
- 6272 (Access granted): confirmação de sucesso.
Logs do supplicant (Windows): gere o relatório de WLAN e confira EAP negociado: netsh wlan show wlanreport start %ProgramData%\Microsoft\Windows\WlanReport\wlan-report-latest.html
Certificados: hora/NTP correta, cadeia completa (CA raiz + intermediárias) instalada nos clientes, CRL/OCSP alcançáveis. Se a validação de certificado falhar, o EAP‑TLS não prossegue.
Ciphers/TLS: se você removeu suites de cifra ou desabilitou TLS 1.2, o handshake EAP‑TLS pode falhar.

O que não procurar no NPS

Para Wi‑Fi 802.1X, não existe “Constraints ▸ Encryption ▸ WPA3‑Enterprise” no NPS. Esse campo se aplica a MPPE (discagem/VPN), não à WLAN.

Passo a passo detalhado de configuração no NPS

Cadastro de APs/Controladora

Abra Network Policy Server → RADIUS Clients and Servers → RADIUS Clients.
New → defina Friendly name, IP/FQDN e Shared secret. Evite segredos reutilizados.

Connection Request Policy

Em ambientes com um único NPS, a CRP padrão “Use Windows authentication for all users” costuma bastar. Se houver proxy RADIUS, ajuste o encaminhamento.

Network Policy

Conditions: NAS Port Type: Wireless – IEEE 802.11; grupos AD; Called‑Station‑ID (regex do SSID).
Constraints ▸ EAP Types:
- Adicione Microsoft: Smart Card or other certificate (EAP‑TLS); configure a CA confiável e métodos de renegociação.
- Se usar PEAP, configure PEAP e dentro dele MSCHAPv2 ou EAP‑TLS conforme seu padrão — lembrando as limitações em WPA3 192‑bit.
Settings: atributos RADIUS que mapeiam para VLAN/ACL (por exemplo, Tunnel‑Type=VLAN, Tunnel‑Medium‑Type=802, Tunnel‑Private‑Group‑ID=20 ou Filter‑Id=ACL‑Finance).

Certificados — o ponto crítico

NPS: certificado de servidor emitido por sua CA, contendo:
- EKU Server Authentication;
- Chave privada exportável opcional (backup seguro);
- Subject/SAN com FQDN do NPS (boa prática).
Clientes (EAP‑TLS): certificados de usuário/computador emitidos automaticamente por GPO/MDM com Autoenrollment habilitado.
Cadeia confiável: distribua CA raiz e intermediárias aos clientes — sem isso, a validação do certificado do NPS falha.
Revogação: garanta acesso a CRL/OCSP (rede convidados corporativa, split DNS ou publicação interna).
WPA3 192‑bit: use algoritmos/suites compatíveis (por exemplo, SHA‑384/AES‑256‑GCM quando aplicável) e confirme o suporte no parque de dispositivos.

Comandos úteis de inspeção no NPS:

# listar suites TLS disponíveis
Get-TlsCipherSuite | Sort-Object Name | Format-Table Name

exportar configuração do NPS para revisão

netsh nps show config > C:\temp\nps-config.txt </code></pre>

<h2>TLS e suites de cifra</h2>
<p>Para EAP‑TLS confiável em 2025, <strong>TLS 1.2</strong> é o denominador comum. Em ambientes atualizados, <em>TLS 1.3</em> pode estar disponível para alguns cenários, mas valide a compatibilidade fim‑a‑fim. Evite reabilitar TLS 1.0/1.1 por legados: prefira atualizar clientes problemáticos.</p>
<p>Se você faz <em>hardening</em> de SChannel por GPO/registro, verifique se não removeu inadvertidamente as suites necessárias ao EAP‑TLS/PEAP. Caso o handshake TLS não encontre interseção de suites entre cliente e servidor, o NPS registrará falhas genéricas de EAP.</p>

<h2>Tabelas de referência rápida</h2>

<h3>Quem decide o quê</h3>
<table>
  <thead>
    <tr>
      <th>Decisão</th>
      <th>Responsável</th>
      <th>Onde configurar</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <td>WPA2 vs WPA3, PMF, 192‑bit</td>
      <td>AP/Controladora</td>
      <td>Perfil/SSID</td>
    </tr>
    <tr>
      <td>Método EAP (EAP‑TLS, PEAP‑MSCHAPv2, etc.)</td>
      <td>NPS e Cliente</td>
      <td>Network Policy (NPS) e perfil do supplicant</td>
    </tr>
    <tr>
      <td>VLAN/ACL dinâmicas</td>
      <td>NPS (atributos), aplicadas pelo AP/Switch</td>
      <td>Settings da Network Policy; mapeamento no AP</td>
    </tr>
    <tr>
      <td>Validação de certificado</td>
      <td>Cliente</td>
      <td>Armazenamento de certificados/PKI (GPO/MDM)</td>
    </tr>
  </tbody>
</table>

<h3>Compatibilidade EAP x Modo WPA</h3>
<table>
  <thead>
    <tr>
      <th>Modo</th>
      <th>EAP recomendado</th>
      <th>Observações</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <td>WPA2‑Enterprise</td>
      <td>EAP‑TLS ou PEAP‑MSCHAPv2</td>
      <td>PEAP é amplamente compatível, porém inferior em segurança a EAP‑TLS.</td>
    </tr>
    <tr>
      <td>WPA3‑Enterprise (128‑bit)</td>
      <td><strong>EAP‑TLS</strong> (recomendado) ou PEAP‑MSCHAPv2</td>
      <td>EAP‑TLS entrega <em>forward secrecy</em> e evita problemas de senha.</td>
    </tr>
    <tr>
      <td>WPA3‑Enterprise 192‑bit (CNSA)</td>
      <td><strong>EAP‑TLS</strong> (obrigatório)</td>
      <td>Requer suites/algoritmos reforçados e suporte consistente no parque.</td>
    </tr>
  </tbody>
</table>

<h2>Checklist de migração WPA2 → WPA3</h2>
<ul>
  <li>SSID realmente em <strong>WPA3‑Enterprise</strong> (PMF “required”).</li>
  <li>Modo <em>transition</em> apenas se necessário — e monitorado.</li>
  <li>Métodos <strong>EAP no NPS</strong> compatíveis com o que o SSID/cliente exigem.</li>
  <li><strong>Certificado do NPS</strong> válido e confiável; e <strong>certificados de cliente</strong> (se EAP‑TLS).</li>
  <li><strong>Ordem</strong> das policies correta (política do SSID acima das genéricas).</li>
  <li><strong>TLS/ciphers</strong> exigidos habilitados no servidor.</li>
  <li>Logs do <strong>NPS</strong> e <code>netsh wlan show wlanreport</code> verificados para confirmar o EAP negociado.</li>
</ul>

<h2>Plano de teste antes do “cutover”</h2>
<ol>
  <li>Crie SSID de <em>piloto</em> (oculto ou com sufexo “‑WPA3”) atrelado a um grupo restrito de usuários/dispositivos.</li>
  <li>Valide <strong>EAP‑TLS</strong> em Windows, macOS, iOS e Android gerenciados.</li>
  <li>Confirme <strong>VLAN/ACL dinâmicas</strong> (Filter‑Id/Tunnel) e <strong>QoS</strong> se aplicável.</li>
  <li>Monitore eventos 6272/6273 e falhas de certificado.</li>
  <li>Somente depois amplie para o SSID principal ou ative transição com janela de rollback.</li>
</ol>

<h2>Resolução de problemas recorrentes</h2>
<ul>
  <li><strong>“EAP Type cannot be processed”</strong>: EAP do cliente não coincide com o permitido na política. Ajuste EAP‑TLS/PEAP e a <em>order</em> das policies.</li>
  <li><strong>Loop de credenciais</strong> em PEAP‑MSCHAPv2: cadeia da CA do NPS ausente no cliente ou nome do servidor não validado.</li>
  <li><strong>Falhas intermitentes</strong> em modo de transição: force EAP consistente (idealmente EAP‑TLS) e separe SSIDs se necessário.</li>
  <li><strong>Sem VLAN dinâmica</strong>: confirme atributos RADIUS de resposta no NPS e o mapeamento na controladora; verifique o <em>Vendor‑Specific Attribute (VSA)</em> correto do fabricante.</li>
  <li><strong>Desalinhamento de hora</strong>: NTP obrigatório; Kerberos/validação de certificado falham com relógio errado.</li>
</ul>

<h2>Modelos de políticas prontos para copiar</h2>
<h3>Política para SSID corporativo com EAP‑TLS e VLAN dinâmica</h3>
<table>
  <thead>
    <tr>
      <th>Seção</th>
      <th>Configuração</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <td>Conditions</td>
      <td>
        <ul>
          <li>NAS Port Type = Wireless – IEEE 802.11</li>
          <li>Windows Group = <code>DOMÍNIO\\WiFi‑Users</code></li>
          <li>Called‑Station‑ID <em>matches</em> <code>.*:WiFi‑Corporativo</code></li>
        </ul>
      </td>
    </tr>
    <tr>
      <td>Constraints</td>
      <td>
        <ul>
          <li>EAP Types: <strong>Smart Card or other certificate (EAP‑TLS)</strong></li>
        </ul>
      </td>
    </tr>
    <tr>
      <td>Settings</td>
      <td>
        <ul>
          <li>Tunnel‑Type = VLAN</li>
          <li>Tunnel‑Medium‑Type = 802</li>
          <li>Tunnel‑Private‑Group‑ID = <code>30</code> (ex.: VLAN de produção)</li>
        </ul>
      </td>
    </tr>
  </tbody>
</table>

<h3>Política alternativa para convidados gerenciados (ACL via Filter‑Id)</h3>
<table>
  <thead>
    <tr>
      <th>Seção</th>
      <th>Configuração</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <td>Conditions</td>
      <td>
        <ul>
          <li>NAS Port Type = Wireless – IEEE 802.11</li>
          <li>Windows Group = <code>DOMÍNIO\\WiFi‑Guests</code></li>
          <li>Called‑Station‑ID <em>matches</em> <code>.*:WiFi‑Guest</code></li>
        </ul>
      </td>
    </tr>
    <tr>
      <td>Constraints</td>
      <td>
        <ul>
          <li>EAP Types: <strong>EAP‑TLS</strong> (se convidados gerenciados) ou <strong>PEAP‑MSCHAPv2</strong> (se política permitir)</li>
        </ul>
      </td>
    </tr>
    <tr>
      <td>Settings</td>
      <td>
        <ul>
          <li>Filter‑Id = <code>ACL‑Guest‑Restrita</code> (mapeada no AP/controladora)</li>
        </ul>
      </td>
    </tr>
  </tbody>
</table>

<h2>Boas práticas de segurança</h2>
<ul>
  <li><strong>Prefira EAP‑TLS</strong> para identidades corporativas; elimine senhas em EAP sempre que possível.</li>
  <li><strong>Segmente</strong> a rede de gerenciamento da controladora/APs e do NPS; restrinja quem pode enviar pacotes RADIUS ao NPS.</li>
  <li>Use <strong>shared secrets</strong> fortes, exclusivos por dispositivo, e rodeie NPS com firewall estrito.</li>
  <li>Audite eventos 6272/6273 e <strong>contabilidade RADIUS</strong> (1813) para rastreabilidade.</li>
  <li><strong>Desabilite TLS 1.0/1.1</strong> e suites fracas, mantendo TLS 1.2 (e 1.3 quando suportado).</li>
  <li>Considere <strong>redundância</strong> (dois NPS) e <strong>AP/Controladora</strong> apontando para ambos.</li>
</ul>

<h2>FAQ rápido</h2>
<p><strong>Existe um botão “WPA3” no NPS?</strong> Não. WPA2/WPA3 é definido no AP/controladora. No NPS você escolhe EAP e regras.</p>
<p><strong>PEAP‑MSCHAPv2 funciona com WPA3?</strong> Em WPA3‑Enterprise (128‑bit), pode funcionar, mas não atende o perfil 192‑bit e é menos seguro que EAP‑TLS.</p>
<p><strong>Minhas ACLs dinâmicas pararão de funcionar ao migrar para WPA3?</strong> Não. A aplicação de ACL/VLAN é independente do WPA; basta manter os mesmos atributos RADIUS na <em>Network Policy</em>.</p>
<p><strong>Preciso de TLS 1.3 no NPS para WPA3?</strong> Não. TLS 1.2 é suficiente para EAP‑TLS em WPA3‑Enterprise (128‑bit). Use TLS 1.3 apenas se suportado fim‑a‑fim.</p>

<h2>Playbook de rollback</h2>
<ol>
  <li>Mantenha um SSID WPA2‑Enterprise paralelo ou preserve o modo de transição temporariamente.</li>
  <li>Tenha <em>snapshot/export</em> da configuração do NPS:
    <pre><code>netsh nps show config &gt; C:\temp\nps-pre-wpa3.txt

Planeje janelas de mudança com telemetria (eventos 6272/6273 e taxa de falha por AP).

Exemplos de regex para Called‑Station‑ID

Objetivo	Regex	Observação
Corresponder SSID “WiFi‑Corporativo”	`.*:WiFi‑Corporativo`	Simples e eficaz quando o formato é `BSSID:SSID`.
Formato estrito (BSSID + SSID)	`^[0-9A-F-]{17}:\s?WiFi‑Corporativo$`	Garante BSSID válido.
Dois SSIDs distintos na mesma política	`.*:(WiFi‑Corp\|WiFi‑Staff)$`	Útil para agrupar políticas com atributos idênticos.

Exemplo de matriz de testes por tipo de dispositivo

Tipo	EAP	Estado WPA	Resultado esperado	Observações
Windows gerenciado (GPO/MDM)	EAP‑TLS (cert. computador)	WPA3‑Enterprise	Autentica; VLAN/ACL aplicadas	Validar cadeia da CA; perfil Wi‑Fi via GPO.
macOS/iOS gerenciado	EAP‑TLS (cert. dispositivo)	WPA3‑Enterprise	Autentica; fast‑roaming preservado	Perfil via MDM com confiança da CA.
Android gerenciado	EAP‑TLS (cert. usuário/dispositivo)	WPA3‑Enterprise	Autentica	Cuidado com validação do “Domain” na UI.
Equipamento legado	PEAP‑MSCHAPv2	WPA2 (fallback)	Autentica em transição	Planeje substituição; evite manter por longo prazo.

Conclusão

Ao migrar para WPA3‑Enterprise com NPS no Windows Server 2022, o segredo é alinhar o que cada peça decide: AP/Controladora define o WPA, o NPS define o EAP e as políticas, e o cliente valida certificados e negocia o método. Configure o SSID no AP, ajuste o(s) EAP no NPS (preferindo EAP‑TLS), garanta certificados e cadeia confiáveis, mantenha a ordem das políticas correta e valide TLS/ciphers. Assim, a mensagem “EAP Type cannot be processed” deixa de aparecer e sua WLAN opera com segurança moderna, sem abrir mão das VLANs e ACLs via RADIUS.

Resumo em uma frase

Para usar WPA3‑Enterprise com NPS no Windows Server 2022, configure o WPA3 no AP e, no NPS, alinhe o(s) método(s) EAP (preferindo EAP‑TLS), certificados e ordem de políticas; não procure uma opção “WPA3” dentro do NPS, pois ela não existe para Wi‑Fi 802.1X.