Actualizar una WLAN corporativa a WPA3‑Enterprise manteniendo Windows Server 2022 Network Policy Server (NPS) es más sencillo de lo que parece: basta con conocer qué parte del proceso controla cada componente y aplicar unas cuantas buenas prácticas de certificados, firmware y registro de eventos.
Problema planteado
- Tras cambiar los puntos de acceso (AP) a WPA3‑Enterprise, el cliente no se autentica y el visor de eventos muestra: The client could not be authenticated because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.
- En la consola NPS no existe ninguna casilla “WPA3” dentro de Constraints ▷ Encryption.
Explicación de fondo
Para resolver la paradoja —“mi NPS no sabe nada de WPA3, pero lo necesito para autenticar WPA3”— conviene repasar dónde se decide cada cosa:
- NPS solo gestiona la autenticación EAP. El protocolo de acceso inalámbrico (WPA2 o WPA3) se negocia entre el AP y el cliente. De ahí que nunca aparezca una opción “WPA3” en la MMC de NPS.
- Existen dos sabores de WPA3‑Enterprise; cada uno impone requisitos distintos a NPS, AP y clientes:
| Modo | Nombre habitual en controladoras | Cifrado | EAP compatibles con NPS | Requisitos extra |
|---|---|---|---|---|
| WPA3‑Enterprise 128‑bit | “WPA3‑Enterprise” o “WPA2/WPA3 Mixed” | GCMP‑128 | PEAP‑MSCHAP v2, EAP‑TLS, EAP‑TTLS… | Solo mantener NPS parcheado |
| WPA3‑Enterprise 192‑bit (Suite B) | “WPA3‑Enterprise 192‑bit” | GCMP‑256 + SHA‑384 | EAP‑TLS | Certificados “Suite B” (RSA 3072 o ECC P‑384) y AP/cliente compatibles |
Pasos de configuración recomendados
| Paso | Acción | Detalles |
|---|---|---|
| 1. Actualizar | Aplicar todas las CU/SU de Windows Server 2022. Subir al último firmware los AP Wi‑Fi 6/6E. Instalar los controladores Wi‑Fi y parches de los sistemas cliente. | Evita incompatibilidades conocidas con WPA3. |
| 2. Seleccionar el modo WPA3 | Para transición suave: “WPA2/WPA3‑Enterprise” (acepta 128‑bit y clientes heredados). Para entornos de alta seguridad: “WPA3‑Enterprise 192‑bit”. | Usa 192‑bit solo si el 100 % de los dispositivos lo soporta. |
| 3. Configurar NPS | Registrar el servidor en Active Directory. ( netsh nps add registeredserver) Añadir los AP como RADIUS Clients. Crear/duplicar una Network Policy: Conditions: grupos de seguridad o atributos NAS‑Identifier. Constraints ▷ Authentication: 128‑bit: PEAP‑MSCHAP v2 (o EAP existente). 192‑bit: EAP‑TLS y desactivar PEAP. | |
| 4. Actualizar certificados (solo 192‑bit) | Clonar la plantilla “Computer” y marcar: Key Size ≥ 3072 bits (RSA) o curva P‑384 (ECC). Hash algoritmo SHA‑384. EKU: Server Authentication. Emitir el nuevo certificado y asignarlo en EAP‑TLS Properties ▷ Certificate issued to:. | NPS no acepta certificados con MD5/SHA‑1. |
| 5. Probar y depurar | Visor de eventos ➜ Custom Views ▷ Server Roles ▷ Network Policy and Access Services. Error “EAP type cannot be processed” con 192‑bit ➜ comprobar que el AP envía EAP‑TLS (no PEAP). Para pruebas rápidas utilizar un portátil Windows 11 con NIC Intel AX211 o similar. | Permite aislar si el fallo es de radio, de EAP o de certificados. |
Puntos clave / Solución rápida
¿Solo necesitas WPA3 estándar (128‑bit)?
- Pon el SSID en “WPA2/WPA3‑Enterprise”.
- Mantén la misma Network Policy basada en PEAP‑MSCHAP v2.
- No hace falta tocar NPS: AP y cliente negociarán WPA3 automáticamente si pueden.
¿Necesitas el nivel 192‑bit (Suite B)?
- Migra a EAP‑TLS y certificados ruta P‑384 o RSA 3072.
- Cualquier otro EAP será rechazado por el AP y provocará el error de EAP.
- Revisa que Advanced Encryption Standard Galois/Counter Mode 256 (GCMP‑256) esté habilitado en la controladora.
Errores comunes y su solución
| Mensaje / Síntoma | Causa probable | Solución |
|---|---|---|
| “EAP type cannot be processed” inmediatamente | El AP envía un método no habilitado en la Network Policy (p. ej. PEAP deshabilitado) | Activa el método correcto en Constraints ▷ Authentication o ajusta el AP |
| El cliente tarda justo 30 s y cae | Certificado servidor no confiado / CN no coincide | Comprueba la cadena de confianza y el nombre del servidor en Subject |
| No se crea ningún evento nuevo en NPS | El AP no puede alcanzar el puerto 1812/1813 por firewall o VLAN | Verifica lista ACL, routing y puerto RADIUS configurado en AP |
| Clientes Android se conectan, Windows no | Driver Wi‑Fi antiguo sin soporte WPA3 | Actualizar controlador o forzar modo Transition Disable Indication |
Buenas prácticas de seguridad
- Activar Protected Management Frames (PMF) en modo Required para cerrar ataques de desautenticación.
- Revisar cada trimestre el certificate lifetime y renovar antes del 80 % de su validez.
- Limitar la visibilidad del SSID a VLAN de invitados mediante MAC Filtering + Dynamic VLAN Assignment desde NPS.
- Habilitar account‑lockout en NPS con Connection Request Policies para detener ataques de diccionario contra PEAP‑MSCHAP v2.
- Auditar periódicamente el hash NTLMv2 y activar Channel Binding si se dispone de dispositivos modernos.
Preguntas frecuentes (FAQ)
¿Puedo usar WPA3‑Enterprise con autenticación basada en Azure AD?
Sí. Configura un NPS local como proxy RADIUS hacia NPS Extension for Azure MFA. El protocolo sigue siendo EAP‑PEAP o EAP‑TLS; WPA3 no cambia ese flujo.
¿Qué pasa si mezclo TLS 1.0 y TLS 1.2 en el mismo servidor?
NPS fuerza TLS 1.2 en Windows Server 2022, por lo que métodos antiguos como EAP‑TLS con TLS 1.0 serán rechazados, contribuyendo a la transición segura a WPA3.
¿Cómo diagnostico fallos de negociación de cifrado entre AP y cliente?
Usa la captura en aire (monitor mode) con Wireshark + AirPcap y filtra ftypes radiotap + eapol; busca las etiquetas Key Descriptor Version = 3 (GCMP‑128) o = 4 (GCMP‑256).
Conclusión
Implementar WPA3‑Enterprise con Windows Server 2022 NPS requiere más comprensión que cambios drásticos: mantener el servidor actualizado, asignar correctamente las Network Policies y, solo para entornos Suite B, migrar a certificados rígidos EAP‑TLS. Con estas pautas, tu red ganará en robustez criptográfica sin sacrificar la inversión en infraestructura.
Referencias internas
- Base de conocimiento Microsoft: transición de WPA2 a WPA3 con NPS.
- Comunidad de fabricantes Wi‑Fi sobre compatibilidad EAP en WPA3.
- Guías de configuración de certificados Suite B para Windows Server.
- Documentación de controladoras y AP sobre modos mixtos WPA2/WPA3.
- Casos prácticos de vendors de seguridad sobre WPA3‑Enterprise 192‑bit.