# Network Policy Server (NPS): RADIUS-Zentrale für das Unternehmen

TL;DR / Management Summary Der Network Policy Server (NPS) ist Microsofts Implementierung eines RADIUS (Remote Authentication Dial-In User Service) Servers. Er fungiert als zentraler Authentifizierungs-Hub: Ob WLAN-AP, VPN-Gateway oder physischer Switch – alle fragen den NPS, ob ein User oder PC ins Netz darf. Ein Senior Admin nutzt NPS, um Richtlinien basierend auf AD-Gruppen und Zertifikats-Status durchzusetzen.

# 1. Einführung & Architektur

Das RADIUS-Prinzip.

RADIUS arbeitet nach dem Client-Server Modell:

RADIUS Client: Das Gerät, das den Zugang kontrolliert (z.B. UniFi Access Point, Cisco Switch).
RADIUS Server (NPS): Der Server, der die Entscheidung trifft.
User Store (AD): Die Datenbank, in der die Konten liegen.

# Die drei Phasen der NPS-Verarbeitung

Verbindungsanforderungsrichtlinien (CRP): Werden genutzt, um Anfragen basierend auf der Herkunft zu filtern oder an andere RADIUS-Server weiterzuleiten (Proxy).
Netzwerkrichtlinien: Hier wird entschieden: “Darf der User rein?”. Bedingungen: Gruppe, Uhrzeit, Protokoll (z.B. EAP-TLS).
IP-Filter / VLAN-Zuweisung: NPS kann dem Switch mitteilen, in welches VLAN der User geschoben werden soll.

# Architektur-Übersicht (Mermaid)

graph TD
    USER[User / Laptop] -->|802.1X| AP[Access Point / Switch]
    AP -->|RADIUS Request / Port 1812| NPS[Windows NPS Server]
    NPS -->|Query| AD[Active Directory]
    AD -->|User/PC valid| NPS
    NPS -->|RADIUS Accept + VLAN Tag| AP
    AP -->|Allow Access| USER

# 2. NPS Konfiguration in der Praxis

Produktionsreife Richtlinien.

# Schritt 1: RADIUS-Clients hinzufügen

Jeder Access Point und jeder Switch muss im NPS mit seiner IP und einem Shared Secret (Passwort) registriert werden.

# Schritt 2: EAP-TLS für maximale Sicherheit

Vermeiden Sie Passwörter im RADIUS (PEAP-MSCHAPv2). Nutzen Sie Zertifikate (EAP-TLS):

Vorteil: User muss nichts eingeben.
Vorteil: Schutz vor Credential-Harvesting.

# Schritt 3: Registrierung im AD

Damit der NPS User-Attribute lesen kann, muss er im Active Directory registriert werden:

Rechtsklick auf NPS (Lokal) -> Server in Active Directory registrieren.

# 3. Deep Dive: VLAN-Steuerung (Dynamic VLAN Assignment)

Automatisierte Segmentierung.

Sie können den NPS nutzen, um User dynamisch in VLANs zu schieben:

In der Netzwerkrichtlinie unter Einstellungen -> Standardattribute.
Folgende Attribute hinzufügen:
- Tunnel-Type: Virtual LANs (VLAN)
- Tunnel-Medium-Type: 802
- Tunnel-Pvt-Group-ID: [Ihre VLAN ID, z.B. 10]

# 4. Day-2 Operations: Log-Analyse

Wer wurde warum abgelehnt?

NPS-Fehlermeldungen in der GUI sind oft kryptisch. Schauen Sie in das lokale Log-File:

Pfad: C:\Windows\System32\LogFiles\IN*.log.
Tool: Nutzen Sie den NPS Log Interpreter (Community Tool) oder PowerShell, um die Codes zu lesen.

# Wichtige Event-IDs

ID 6272: Zugriff gewährt.
ID 6273: Zugriff verweigert (Grund steht in den Details).

# 5. Troubleshooting & “War Stories”

Wenn der RADIUS schweigt.

# Top 3 Fehlerbilder

Symptom: RADIUS-Client (AP) meldet “Server not responding”.
- Ursache: UDP-Ports 1812 (Auth) und 1813 (Accounting) sind in der Firewall blockiert oder das Shared Secret stimmt nicht überein.
- Lösung: netstat -ano | findstr 1812 prüfen und Secret abgleichen.
Symptom: “The client could not be authenticated because the EAP Type cannot be processed by the server”.
- Ursache: Das Server-Zertifikat im NPS ist abgelaufen oder hat nicht den richtigen Zweck.
- Lösung: Neues Zertifikat von der CA ausstellen und in der NPS-Richtlinie auswählen.
Symptom: Domain-Admins kommen rein, normale User nicht.
- Ursache: In der Netzwerkrichtlinie ist die falsche Gruppe hinterlegt oder der User-Account hat “Zugriff verweigern” im AD-Tab “Einwählen”.

# “War Story”: Das “Ghost” Zertifikat

In einem Unternehmen fielen montags morgens alle WLAN-Verbindungen aus. Die Analyse: Das Zertifikat der internen CA, das der NPS zur Identifikation gegenüber den Clients nutzte, war am Sonntag um 23:59 Uhr abgelaufen. Da die Clients das Zertifikat nicht mehr validieren konnten, brachen sie den TLS-Handshake ab. Lehre: Überwachen Sie das Ablaufdatum Ihrer NPS-Zertifikate via Monitoring (Artikel 520). RADIUS-Fehler sind oft binär: Alles geht oder gar nichts.

# 6. Monitoring & Reporting

Dashboard der Logins.

# Grafana Integration

Nutzen Sie einen Log-Shipper, um NPS-Logs an einen ELK-Stack oder Prometheus zu senden.

KPI: Ablehnungsrate (Failure Rate). Ein Anstieg deutet auf einen Angriff oder ein massives Zertifikats-Problem hin.

# 7. Fazit & Empfehlung

Der NPS ist ein unverzichtbares Werkzeug für das Netzwerk-Management.

Empfehlung: Nutzen Sie Zertifikate (EAP-TLS) für alle Firmengeräte.
Zukunft: Für Cloud-First Unternehmen bietet sich der Wechsel zu Cloud-RADIUS Lösungen oder die Integration von NPS mit Azure MFA (Artikel 496) an.

# Anhang: Cheatsheet

Aufgabe	Befehl / Tool
NPS Konsole	`nps.msc`
NPS Config Export	`netsh nps export filename="C:\config.xml" exportPrivateConfig=yes`
Dienst neustarten	`Restart-Service ias`
RADIUS Test-Client	`ntradping.exe` (Third Party)