MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. MPSK con NPS en Windows Server 2022: por qué no es compatible y qué hacer en su lugar

MPSK con NPS en Windows Server 2022: por qué no es compatible y qué hacer en su lugar

Windows Server

¿Buscas usar MPSK con NPS en Windows Server 2022? Respuesta corta: no es compatible. En esta guía te explico por qué, qué alternativas reales tienes —incluida la migración a 802.1X con certificados— y cómo decidir con un plan y ejemplos listos para aplicar.

Índice

Compatibilidad de MPSK con NPS en Windows Server

Pregunta: ¿Se puede habilitar Multi‑Pre‑Shared Key (MPSK) —múltiples claves pre‑compartidas por SSID, grupo o dispositivo— usando Network Policy Server (NPS) en Windows Server 2022?

Respuesta: No. NPS no implementa MPSK. NPS actúa como servidor RADIUS y siempre espera que la autenticación del cliente se realice mediante 802.1X/EAP (por ejemplo, PEAP o EAP‑TLS). Para comunicarse con los puntos de acceso o controladores, NPS usa un único secreto compartido por cada cliente RADIUS (cada AP, controlador o servidor VPN), no múltiples PSK por usuario, grupo o dispositivo.

Razones técnicas por las que no funciona

  • Modelo RADIUS de NPS: NPS valida credenciales presentadas a través de EAP. No hay un flujo en el que NPS reciba ni compare contraseñas WPA‑PSK del cliente final.
  • PSK y RADIUS no se mezclan: en WPA/WPA2/WPA3‑PSK la verificación de la clave ocurre entre el cliente y el AP con material derivado de la PSK; el servidor RADIUS no participa.
  • Secreto compartido ≠ PSK: el secreto de RADIUS protege el canal entre AP y NPS. No es una clave por usuario o dispositivo y no sirve para segmentar por grupos.

Nota clave: PSK ≠ RADIUS. En redes con PSK, NPS no “ve” la clave del cliente, por lo que no puede distinguir múltiples PSK dentro de un mismo SSID.

Qué es MPSK o PPSK y cuándo se usa

MPSK (también llamado PPSK, per‑person/device PSK) es una función propia de varios fabricantes de Wi‑Fi que permite asignar una PSK única por usuario o dispositivo dentro de un mismo SSID. El controlador o la nube del fabricante gestionan esas claves, simplificando la incorporación de equipos que no soportan 802.1X o en entornos temporales.

Como MPSK vive en el ecosistema del fabricante, NPS no participa en la autenticación y, por tanto, no aporta políticas ni auditoría centralizadas. Es útil como transición, pero su alcance depende del proveedor de Wi‑Fi.

Alternativas prácticas para conseguir seguridad y segmentación

Migración a autenticación empresarial con certificados

La alternativa recomendada es migrar a 802.1X con EAP‑TLS en NPS. Con ello eliminas PSK compartidas, consigues identidad por dispositivo o usuario, puedes revocar accesos de forma granular y habilitas segmentación dinámica (por ejemplo, VLAN por grupo de Active Directory).

BeneficioQué aportaCómo se implementa con NPS
Identidad fuerteAutenticación por certificado, sin contraseñas reutilizadasEAP‑TLS con certificados de equipo o usuario emitidos por tu PKI
Revocación y auditoríaRevocar un certificado o sacar de un grupo corta el acceso al instanteCRL/OCSP y pertenencia a grupos de AD en políticas NPS
Segmentación dinámicaVLAN, ACLs o perfiles por políticaAtributos RADIUS como Tunnel‑Type, Tunnel‑Medium‑Type y Tunnel‑Private‑Group‑ID
Experiencia del usuarioRoaming eficiente y sin capturas de portalClientes configurados vía GPO o MDM con perfil de Wi‑Fi

Uso de MPSK o PPSK del fabricante

Si tus dispositivos no pueden usar 802.1X en el corto plazo, evalúa activar MPSK en tu plataforma Wi‑Fi. Normalmente:

  • El controlador genera y asigna PSK únicas por dispositivo o persona.
  • La rotación y distribución se gestionan desde la consola del fabricante.
  • NPS no interviene y, por tanto, las políticas de acceso no se centralizan en RADIUS.

Es una solución útil para IoT, eventos o entornos con clientes limitados, pero no sustituye a la seguridad y control de 802.1X.

Servidor RADIUS de terceros con funciones avanzadas

Algunas soluciones comerciales u open source integran flujos específicos para MPSK o combinan PSK con decisiones de política. Aportan valor en entornos heterogéneos, pero suelen añadir coste y complejidad operativa. Verifica compatibilidad con tu stack Wi‑Fi y con tus directorios de identidad.

Segmentación con varios SSID y PSK por SSID

Como compromiso, puedes crear SSID por grupo con PSK distintas. Es simple y universal, pero con efectos secundarios:

  • Mayor overhead de balizas y peor eficiencia espectral al multiplicar SSID.
  • Más perfiles a gestionar y peor roaming.
  • Escala limitada y difícil rotación sin afectar a muchos usuarios.

Úsalo como paso temporal mientras avanzas hacia 802.1X.

Consideraciones si el caso es acceso remoto

Si tu duda viene de VPN y no de Wi‑Fi, busca per‑group PSK en tu solución de túneles o migra a autenticación por identidad (por ejemplo, IKEv2 con EAP‑TLS). El principio es el mismo: evitar PSK compartidas y mover la decisión de acceso a políticas y certificados.

Recomendación rápida para decidir

Usa el siguiente árbol de decisión práctico:

¿Puedes desplegar certificados de manera fiable?
 ├─ Sí → Implementa EAP‑TLS con NPS y habilita segmentación dinámica.
 └─ No por ahora
     ├─ Tu Wi‑Fi soporta MPSK/PPSK → Úsalo como transición con PSK por dispositivo.
     ├─ RADIUS avanzado de terceros → Valóralo si necesitas políticas centralizadas con PSK.
     └─ Varias SSID con PSK por grupo → Aplícalo solo temporalmente, con plan de migración.

Guía paso a paso para migrar con certificados en NPS

A continuación, un plan de alto nivel para pasar de PSK a 802.1X con EAP‑TLS en NPS sobre Windows Server 2022:

Preparación y prerrequisitos

  • Inventario: identifica SSID, controladores, modelos de AP, clientes y sistemas operativos.
  • Tiempo y sincronización: asegúrate de que todos los equipos participan correctamente en NTP. La validez temporal de certificados depende de ello.
  • Resolución de nombres: publica un nombre estable para NPS (por ejemplo, radius.empresa.local) y añade registros en DNS.

Infraestructura de certificados

  • PKI: si no la tienes, implementa Servicios de certificados de Active Directory o usa tu PKI existente.
  • Plantillas: crea una plantilla para autenticación de equipo con EKU adecuado y habilita inscripción automática para equipos unidos a dominio.
  • Lista de revocación: comprueba que clientes y NPS pueden alcanzar la CRL u OCSP de tu PKI.

Instalación y registro de NPS

  • Instala la función de Servicios de directivas de redes y accede al rol NPS.
  • Registra NPS en Active Directory para permitirle leer atributos de usuarios y equipos del dominio.
  • Habilita el certificado de servidor que presentará NPS para EAP‑TLS o PEAP.

Definición de clientes RADIUS

  • Da de alta cada AP o controlador como cliente RADIUS con su IP o FQDN.
  • Asigna un secreto compartido robusto y único por dispositivo o, como mínimo, por controlador.

Directiva de solicitud de conexión

  • Crea una regla para tráfico inalámbrico con condición NAS‑Port‑Type establecida a Wireless IEEE.
  • Opcional: filtra por SSID usando Called‑Station‑ID contiene “NombreSSID”.

Directiva de red con EAP

  • Habilita como método principal EAP‑TLS (recomendado). Alternativamente, PEAP con MSCHAPv2 mientras preparas certificados de cliente.
  • Restringe el acceso por pertenencia a grupos de Active Directory (por ejemplo, WiFi‑Empresa, WiFi‑Invitados, IoT).
  • Define atributos RADIUS para segmentación dinámica cuando aplique.

Perfil de Wi‑Fi para clientes

  • En equipos Windows unidos a dominio, usa una Directiva de red inalámbrica en GPO que apunte al SSID empresarial con autenticación por certificado.
  • En macOS, iOS, iPadOS o Android, distribuye certificados y el perfil Wi‑Fi mediante tu MDM.

VLAN dinámica por política

Ejemplo de atributos RADIUS para asignar VLAN desde NPS:

AtributoValorDescripción
Tunnel‑TypeVLANIndica que se usará un túnel de tipo VLAN
Tunnel‑Medium‑TypeIEEE 802Especifica el medio de enlace
Tunnel‑Private‑Group‑IDpor ejemplo, 20Identificador de la VLAN que se asignará

Ejemplo de mapeo de grupos a VLAN

Grupo de Active DirectoryVLANUso
WiFi‑Direccion10Tráfico corporativo con acceso completo
WiFi‑Operaciones20Acceso a sistemas específicos
WiFi‑Invitados99Internet aislado con filtrado
WiFi‑IoT30Segmento restringido y monitorizado

Consideraciones de coexistencia

  • Mantén temporalmente el SSID con PSK para migración escalonada.
  • Publica el SSID empresarial primero a equipos gestionados; migra áreas y colectivos en oleadas.
  • Comunica fechas de corte y ten lista una vía de soporte para nuevos certificados.

Comparativa de opciones para elegir con criterio

OpciónSeguridadComplejidadEscalabilidadVentajasLimitacionesCuándo usar
EAP‑TLS con NPSAltaMediaAltaIdentidad fuerte, revocación, políticas y auditoríaRequiere PKI y despliegue de certificadosEstrategia principal a medio y largo plazo
PEAP con MSCHAPv2MediaBajaAltaMenor fricción inicialDependencia de contraseñas; valida bien el certificado del servidorTransición inicial hacia EAP‑TLS
MPSK del fabricanteMediaMediaMediaPSK por dispositivo o usuarioAcoplado al proveedor; sin políticas centralizadas en NPSIoT o clientes sin 802.1X
RADIUS de tercerosAltaMedia‑AltaAltaFunciones avanzadas y ecosistema integralCoste y operación añadidosRequisitos específicos más allá de NPS
Varios SSID con PSK por grupoBaja‑MediaBajaBaja‑MediaSencillez de configuraciónMayor overhead y gestión dispersaSolución temporal y de alcance limitado

Errores comunes y cómo evitarlos

  • Dejar PEAP sin validar el certificado del servidor: habilita validación estricta y especifica tu CA.
  • Usar una sola PSK amplia para invitados e IoT: separa al menos por SSID y segmenta, mejor aún migra a 802.1X o MPSK del fabricante.
  • Olvidar revocación: configura publicación y alcance de CRL/OCSP y pruébalo desde clientes inalámbricos.
  • No definir contornos de grupos: organiza grupos de AD para mapear políticas y VLAN sin ambigüedades.
  • No registrar adecuadamente en NPS: habilita registros de contabilidad y eventos para trazabilidad.

Diagnóstico y trazabilidad

  • Visor de eventos: revisa los registros del rol NPS para ver concesiones o denegaciones de acceso y el motivo exacto.
  • Registros de contabilidad: habilítalos en disco o en una base de datos para sesiones, tiempos y atributos recibidos.
  • Capturas en el borde: si necesitas, captura en el controlador o AP el intercambio EAPOL para verificar el flujo 802.1X.
  • Certificados: confirma cadena, validez temporal y EKU del lado cliente y del servidor NPS.

Plantillas rápidas para políticas

Política de red para empleados

Condiciones:
  - NAS-Port-Type = Wireless IEEE
  - Called-Station-ID contiene "Empresa"
  - Miembro de grupos: "WiFi-Empresa"

Restricciones:

- Método de autenticación: EAP-TLS

Atributos RADIUS:

- Tunnel-Type = VLAN
- Tunnel-Medium-Type = IEEE 802
- Tunnel-Private-Group-ID = 10

Política de red para invitados

Condiciones:
  - NAS-Port-Type = Wireless IEEE
  - Called-Station-ID contiene "Invitados"
  - Miembro de grupos: "WiFi-Invitados"

Restricciones:

- PEAP con MSCHAPv2 temporalmente (si no hay certificados)
- Horarios restringidos si aplica

Atributos RADIUS:

- Tunnel-Type = VLAN
- Tunnel-Medium-Type = IEEE 802
- Tunnel-Private-Group-ID = 99
- Session-Timeout = 28800 (opcional)

Cuándo sí tiene sentido usar MPSK

  • Dispositivos sin supplicant empresarial: lectores, sensores o terminales heredados.
  • Entornos temporales: ferias, eventos, laboratorios rotativos donde la vida útil del acceso es corta.
  • Segmentación razonable con mínima fricción: PSK única por dispositivo sin depender de un directorio.

Incluso en estos escenarios, mantén un plan de transición hacia 802.1X para tus activos gestionados.

Buenas prácticas si mantienes PSK durante la transición

  • Usa PSK distintas por entorno y limita su vigencia.
  • Evita reutilizar la misma PSK en múltiples sedes.
  • Combina con aislamiento de cliente y filtrado de tráfico en la VLAN.
  • Publica un procedimiento de rotación y gestiona el cambio en ventanas programadas.

Resumen ejecutivo

NPS en Windows Server 2022 no admite MPSK. PSK y RADIUS siguen rutas diferentes: con PSK el servidor RADIUS no participa y, por ello, no puede “diferenciar” claves dentro de un mismo SSID. Si quieres seguridad, control y trazabilidad, el camino prioritario es 802.1X con EAP‑TLS en NPS, apoyado en tu PKI y en políticas dinámicas. Como transición, valora MPSK del fabricante o, en su defecto, SSID por grupos con PSK propios, siempre con un plan para evolucionar a identidad y certificados.

Checklist de despliegue

  • Inventario de AP, SSID, clientes y sistemas.
  • PKI operativa con inscripción automática y CRL/OCSP accesibles.
  • NPS instalado, certificado de servidor configurado y registrado en AD.
  • Clientes RADIUS dados de alta con secretos robustos.
  • Políticas NPS definidas por grupos y SSID, con atributos de VLAN cuando aplique.
  • Perfil Wi‑Fi distribuido por GPO o MDM.
  • Fase de coexistencia y plan de retirada de PSK.
  • Monitorización y registros activados; pruebas de conexión y roaming.

Preguntas frecuentes

¿Puede NPS usar diferentes PSK según el grupo?
No. NPS no procesa PSK del cliente; solo ve paquetes RADIUS desde el AP o controlador.

¿Y si configuro MPSK en el controlador y además NPS?
Puedes usar MPSK para ciertos SSID y 802.1X con NPS para otros. En el SSID con MPSK, NPS no participa. En el SSID empresarial con 802.1X, NPS decide políticas.

¿Qué método elegir, EAP‑TLS o PEAP?
EAP‑TLS cuando puedas desplegar certificados. PEAP con MSCHAPv2 puede servir como transición, validando siempre el certificado del servidor y planificando el paso a certificados de cliente.

¿Puedo hacer autenticación por dirección MAC?
Es técnicamente posible como último recurso, pero es débil frente a suplantación. Prefiere certificados o, si no puedes, MPSK del fabricante para esos dispositivos.

Glosario útil

  • NPS: Network Policy Server, servidor RADIUS de Windows Server.
  • RADIUS: protocolo de autenticación, autorización y contabilidad entre el AP/controlador y el servidor de políticas.
  • PSK: clave pre‑compartida usada en WPA/WPA2/WPA3 sin 802.1X.
  • MPSK/PPSK: PSK única por usuario o dispositivo, gestionada por el fabricante Wi‑Fi.
  • 802.1X: estándar de control de acceso basado en puerto usando EAP.
  • EAP‑TLS: método EAP con certificados; identidad fuerte.
  • PEAP: túnel EAP protegido por TLS con credenciales internas.
  • VLAN dinámica: asignación de VLAN por atributos RADIUS.

¿Quieres un plan detallado para tu entorno o revisar opciones de MPSK del fabricante que ya usas? Puedo proponerte una hoja de ruta de migración y un conjunto de políticas NPS adaptadas a tus grupos y segmentos.

Windows Server
Índice