WPA3‑Enterprise con Windows Server 2022 NPS: guida completa a configurazione, errori EAP e best practice

Vuoi autenticare un SSID WPA3‑Enterprise con Windows Server 2022 NPS (RADIUS) e stai ricevendo errori come “EAP type cannot be processed”? Qui trovi una guida pratica e completa: cosa cambia rispetto a WPA2‑Enterprise, come configurare correttamente AP, NPS e client, e come risolvere gli errori più comuni.

Indice

Il punto di partenza: chi fa cosa in WPA3‑Enterprise

Il dubbio più frequente nasce da un fraintendimento: WPA3 non si “imposta” in NPS. Il server RADIUS (NPS) gestisce l’autenticazione 802.1X/EAP, cioè il dialogo tra supplicant (client) e autenticatore (Access Point/Controller). La scelta dello standard WPA2 vs WPA3 e dei relativi requisiti (ad es. PMF – Protected Management Frames) avviene tra client e AP a livello 802.11 e 802.1X. Per NPS non cambia nulla: continua a ricevere e rispondere a normali messaggi EAP.

Di conseguenza, quell’opzione che qualcuno suggerisce in NPS—“Encryption → WPA3‑Enterprise”—non esiste nelle policy per il Wi‑Fi 802.1X: l’unico “Encryption” che vedrai in NPS riguarda scenari VPN/MPPE e non si applica al Wi‑Fi enterprise.

Perché compare “EAP type cannot be processed”

Il messaggio indica che il metodo EAP proposto da una delle parti non è compatibile con quanto previsto dall’altra o dalla policy NPS. In WPA3‑Enterprise questo capita spesso quando:

l’AP o il profilo client forza EAP‑TLS (magari in modalità Suite‑B/192‑bit) ma la tua Network Policy NPS consente solo PEAP (EAP‑MSCHAPv2);
il client propone un cipher/hash non accettato dalla catena certificati del server (ad esempio si richiede SHA‑384 per Suite‑B/192‑bit ma il certificato del NPS è SHA‑256 o peggio);
c’è un mismatch nelle opzioni PEAP (validazione certificato server, nomi DNS, autorità di certificazione attendibili);
driver Wi‑Fi/client obsoleti non implementano correttamente WPA3/PMF.

Mappa rapida cause → sintomi → fix

Scenario	Sintomi	Correzione
AP/Client forzano EAP‑TLS, NPS consente solo PEAP	Evento NPS 6273 con “EAP type cannot be processed”	In Network Policies → Constraints → Authentication Methods abilita EAP‑TLS o mantieni PEAP ma allinea AP e profili client
Suite‑B/192‑bit richiesto ma certificati non idonei	Fail immediato dopo ClientHello/negoziazione	Usa certificati server con SHA‑384 e curve/chiavi adeguate; se non ti serve 192‑bit, disattivalo
PEAP con validazione CA errata sul client	Client rifiuta il certificato server	Distribuisci CA corretta via GPO/MDM; verifica nome CN/SAN del certificato NPS
Driver Wi‑Fi non aggiornati	Assoc. fallita o disconnessioni con PMF “Required”	Aggiorna driver/firmware; su Windows 10/11 preferisci driver del produttore

Requisiti tecnici (AP, NPS, client)

Access Point / Controller

SSID configurato come WPA3‑Enterprise (802.1X) con PMF = Required (obbligatorio per WPA3).
Se sei in fase di migrazione, valuta la “Transition Mode” (WPA2/WPA3) finché tutti i device non sono aggiornati.
RADIUS puntato al NPS con porte UDP 1812/1813 e shared secret coerente.
Firmware AP/WLC aggiornato: molte incompatibilità WPA3 si risolvono così.

Windows Server 2022 NPS

Ruolo Network Policy and Access Services installato e registrato in AD come server RADIUS.
TLS 1.2 abilitato; TLS 1.3 dove supportato dai tuoi client e aggiornamenti di sistema (non è un requisito di base per EAP‑TLS, ma può portare benefici).
Certificato server emesso da CA attendibile, chiave ≥ 2048 bit, SHA‑256+ (per modalità 192‑bit usa SHA‑384), SAN con FQDN del NPS.
CRL/OCSP raggiungibili, orologio e time sync corretti (Kerberos & TLS sono sensibili all’ora).

Client Windows e mobile

Windows 10 21H2+ o Windows 11 con driver Wi‑Fi aggiornati.
Profili gestiti via GPO/MDM per imporre EAP‑TLS (consigliato) o PEAP.
Verifica supporto WPA3 con: netsh wlan show drivers Nella sezione “Tipi di autenticazione e cifrature supportati” deve comparire WPA3‑Enterprise e PMF.

Configurazione corretta passo‑passo

Access Point / Controller

Crea SSID: WPA3‑Enterprise (802.1X), PMF = Required.
Transizione opzionale: abilita WPA2/WPA3 se hai device legacy (consapevole che PMF in questo caso può essere “Optional”).
Server RADIUS: IP del NPS, UDP 1812 (auth) e 1813 (accounting), shared secret coerente con NPS.
RADIUS attributes (opzionale): VLAN dinamiche, filtri ACL, ecc. Non influiscono su WPA3 vs WPA2.

NPS (Connection Request Policies & Network Policies)

Connection Request Policies: se non hai scenari di proxy RADIUS, usa la policy predefinita o creane una che inoltri localmente a NPS.
Network Policies:
- Conditions: “NAS Port Type = Wireless – IEEE 802.11”, “Windows Groups” se vuoi limitare a gruppi AD.
- Constraints → Authentication Methods:
  - Abilita EAP‑TLS (consigliato) oppure PEAP (EAP‑MSCHAPv2).
  - Rimuovi metodi che non userai (riduce errori e superfici d’attacco).
  - Nessuna voce “Encryption” da impostare per il Wi‑Fi: ignorala.
- Settings: seleziona il certificato server giusto (per EAP‑TLS/PEAP) e, se serve, configura attributi RADIUS (VLAN, Tunnel‑Private‑Group‑ID, ecc.).
Logging: abilita Accounting e log eventi dettagliati per il troubleshooting.

Client Windows (GPO/MDM)

Distribuzione certificati: abilita Autoenrollment per certificati macchina/utente (EAP‑TLS), distribuisci la CA root/intermediate.
Profilo Wi‑Fi:
- Per EAP‑TLS: seleziona “Smart Card o altro certificato” e Validare il certificato server scegliendo la CA corretta.
- Per PEAP: valida il certificato server, abilita MSCHAPv2 come metodo interno, disabilita l’autenticazione automatica con credenziali di accesso se non desiderata.
Priorità profilo: se coesistono SSID in transizione, imposta l’SSID WPA3 come preferito.

EAP‑TLS o PEAP? La scelta giusta in ottica WPA3

EAP‑TLS è la scelta consigliata in contesti aziendali perché elimina le password, semplifica la compliance con WPA3‑Enterprise‑192 (Suite‑B) e si integra bene con l’auto‑iscrizione dei certificati tramite AD CS + GPO/MDM. Se resti su PEAP (MSCHAPv2), WPA3 continuerà a funzionare, ma non potrai usare il profilo di sicurezza 192‑bit e resterai dipendente dalla robustezza delle password e delle policy di rotazione.

Diagnostica: come leggere correttamente i log

Event Viewer su NPS

Successo: Event ID 6272 (Network Policy Server granted access).
Fallimento: Event ID 6273 (Network Policy Server denied access), con Reason Code e dettagli EAP.

Nei dettagli evento cerca il tipo EAP:

Valore	Metodo EAP
13	EAP‑TLS
25	PEAP
26	EAP‑MSCHAPv2 (inner di PEAP)

Tracing sul client Windows

Abilita il tracing e raccogli i log per analisi approfondita:

netsh ras set tracing * enabled
riproduci il problema di connessione
netsh ras set tracing * disabled

I file .etl risultanti possono essere analizzati con Message Analyzer o strumenti equivalenti. Per un’analisi a pacchetto, usa Wireshark filtrando eapol e osserva la negoziazione EAP (Start, Identity, TLS/PEAP).

Checklist “da campo” per mettere in piedi WPA3‑Enterprise con NPS

AP/WLC: SSID WPA3‑Enterprise, PMF = Required, RADIUS verso NPS.
NPS: certificate server corretto (FQDN in SAN), CA affidabile, TLS 1.2 attivo.
Policy NPS: un solo metodo EAP coerente con quanto imposto su AP e client (EAP‑TLS consigliato).
Client: driver Wi‑Fi aggiornati, profilo 802.1X coerente, CA installata, per EAP‑TLS certificato presente e valido.
Firewall: UDP 1812/1813 aperte tra AP e NPS; CRL/OCSP raggiungibili dal NPS.
Ora e DNS: sincronizzazione NTP; FQDN del NPS risolvibile come nel certificato.
Test: collega un client noto‑buono, verifica Event ID 6272 e tipo EAP atteso.

Transizione da WPA2‑Enterprise a WPA3‑Enterprise senza interruzioni

Se oggi tutto funziona con WPA2‑Enterprise (PEAP), puoi passare a WPA3 senza “toccare” NPS:

abilita WPA3‑Enterprise sull’SSID e PMF = Required;
se alcuni device non sono pronti, attiva per un periodo limitato la Transition Mode (oppure mantieni un SSID WPA2 separato);
valuta la migrazione progressiva a EAP‑TLS (meglio per sicurezza e per scenari 192‑bit) creando una nuova Network Policy parallela in NPS e assegnandola per gruppo AD, reparto o sede;
pianifica il refresh certificati e l’auto‑enrollment, così da non dover toccare ogni PC a mano.

Best practice operative

Tema	Raccomandazione
EAP‑TLS	Adottalo come metodo principale: elimina password, facilita la conformità WPA3‑Enterprise‑192.
PMF	Impostalo a Required per essere realmente in WPA3; in transizione monitorare i device che non lo supportano.
Aggiornamenti	Firmware AP/WLC e driver Wi‑Fi recenti riducono al minimo gli errori “EAP type cannot be processed”.
Gruppi AD	Filtra l’accesso nella Network Policy con la condizione Windows Groups per un controllo puntuale.
Logging e visibilità	Abilita accounting RADIUS e centralizza i log NPS (SIEM) per diagnosi rapide e audit.
CRL/OCSP	Garantisci la raggiungibilità della CA: problemi cert spesso sembrano “EAP” ma sono trust chain.
Separazione SSID	Mantieni temporaneamente un SSID WPA2 o usa Transition Mode per non escludere i legacy durante il rollout.

Domande frequenti (FAQ)

Devo abilitare “WPA3” in NPS?

No. NPS tratta EAP su 802.1X, non decide lo standard radio. WPA3 si imposta su AP/Controller e viene negoziato con il client.

Posso restare su PEAP con WPA3?

Sì, WPA3‑Enterprise funziona anche con PEAP (MSCHAPv2). Tuttavia, per massima sicurezza e per il profilo 192‑bit, passa a EAP‑TLS.

NPS supporta TLS 1.3 per EAP‑TLS?

Dipende dagli aggiornamenti e dai client. TLS 1.2 è oggi lo standard minimum ampiamente supportato. Abilita TLS 1.3 se e quando l’interoperabilità della tua flotta e degli AP lo consente.

Perché non vedo il menu “Encryption → WPA3‑Enterprise” in NPS?

Perché quel menu esiste solo in policy di tipo VPN/MPPE; nelle policy Wi‑Fi 802.1X non è presente e non serve.

Le VLAN dinamiche via RADIUS cambiano tra WPA2 e WPA3?

No. Gli attributes RADIUS (es. Tunnel‑Private‑Group‑ID) restano gli stessi, indipendenti da WPA2/3.

Come verifico rapidamente il metodo EAP in uso?

Sul NPS, controlla gli eventi 6272/6273: nei dettagli trovi il tipo EAP (13 = EAP‑TLS, 25 = PEAP). Sul client Windows, consulta il tracing netsh ras o analizza EAPOL in Wireshark.

Playbook di troubleshooting “in 10 minuti”

Controlla l’AP: SSID in WPA3‑Enterprise, PMF = Required, RADIUS verso l’IP giusto, secret corretto.
Apri i log NPS: se vedi 6273 con “EAP type cannot be processed”, confronta il tipo EAP che arriva con quelli attivi in policy.
Allinea i metodi: se l’AP forza EAP‑TLS, abilitalo nella policy NPS e nel profilo client. Se vuoi restare su PEAP, imposta AP e profili coerentemente.
Certificati: catena completa, CA corretta sui client, SAN del server corrispondente al FQDN, hash adeguato (SHA‑256/384).
Driver & patch: aggiorna NIC Wi‑Fi e firmware AP. Ripeti il test.
Verifica PMF: se in transizione, prova con PMF opzionale per diagnosticare i device problematici; poi torna a Required.
Wire capture (se serve): controlla l’avvio di EAP‑TLS/PEAP; fallimenti precoci indicano problemi di trust/TLS, fallimenti post‑TLS indicano credenziali/authorization.

Esempi di configurazione (schematici)

NPS: policy con EAP‑TLS

Network Policies
  - &quot;WPA3-Enterprise (EAP-TLS)&quot;
    Conditions:
      NAS Port Type = Wireless - IEEE 802.11
      Windows Groups = &lt;Gruppo_AD&gt;
    Constraints:
      Authentication Methods = Smart Card or other certificate (EAP-TLS)
    Settings:
      RADIUS Attributes (opz.): VLAN dinamica...
      Certificate server: CN=nps01.domain.local, SAN=nps01.domain.local

NPS: policy con PEAP (MSCHAPv2)

Network Policies
  - &quot;WPA3-Enterprise (PEAP)&quot;
    Conditions:
      NAS Port Type = Wireless - IEEE 802.11
      Windows Groups = &lt;Gruppo_AD&gt;
    Constraints:
      Authentication Methods = Protected EAP (PEAP)
        Inner method: MSCHAPv2
        Validate server certificate: Yes (CA aziendale)
    Settings:
      (eventuali attributi RADIUS)

Client Windows: verifica capacità WPA3

netsh wlan show drivers
Output atteso (estratto):
Tipi di autenticazione supportati: WPA2-Enterprise, WPA3-Enterprise
Cifrature supportate: CCMP
802.11w Management Frame Protection: Supported

Controlli di qualità e sicurezza post‑implementazione

Fail‑over RADIUS: configura più server NPS e liste RADIUS sugli AP per alta disponibilità.
Revoca certificati: testa la revoca (CRL/OCSP) per dispositivi rubati o compromessi.
Least privilege: usa Network Policies multiple per segmenti/ruoli differenti, con VLAN dedicate.
Rotazione: pianifica la rotazione dei certificati del NPS e dei client (auto‑renewal), con preavviso e monitoraggio.
Monitor: alert sugli eventi 6273 ricorrenti e sui tempi di autenticazione anomali (latenza CA, CRL down, ecc.).

Riepilogo finale

Non esiste un’impostazione “WPA3” in NPS: il server continua a parlare EAP su 802.1X come prima.
Gli errori “EAP type cannot be processed” derivano quasi sempre da mismatch del metodo EAP o problemi di certificato/TLS.
EAP‑TLS è la scelta consigliata per sicurezza e per WPA3‑Enterprise‑192; PEAP resta supportato ma con limiti.
Per una migrazione pulita: aggiorna firmware e driver, imposta PMF = Required, allinea i metodi EAP su AP/NPS/client, cura certificati e CA.
Con questi accorgimenti, WPA3‑Enterprise con NPS funzionerà esattamente come WPA2 dal punto di vista RADIUS, offrendo però i benefici di sicurezza del nuovo standard Wi‑Fi.

Appendice: errori tipici e suggerimenti

Errore/Evento	Possibile causa	Azioni
NPS 6273 – EAP type cannot be processed	Mismatch EAP (AP/client vs NPS), metodo non consentito, cipher/hash non supportato	Allinea Authentication Methods; verifica certificati e profili
Client rifiuta certificato server	CA non installata o CN/SAN non combaciano	Distribuisci CA via GPO/MDM; rigenera il certificato NPS con SAN corretto
Associazione fallisce solo con PMF = Required	Driver Wi‑Fi obsoleti o device non compatibili	Aggiorna driver/firmware; in transizione valuta PMF opzionale solo per diagnosi
Timeout RADIUS	Firewall/ACL, porta sbagliata, secret incoerente	Apri UDP 1812/1813, conferma secret e IP sorgente/destinazione

Seguendo questo percorso operativo e tenendo a mente il confine di responsabilità tra AP/client (WPA3, PMF, radio) e NPS (EAP, policy, certificati), l’adozione di WPA3‑Enterprise sarà lineare e ripetibile in produzione.