Share via

Planifier un serveur NPS en tant que serveur RADIUS

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Lorsque vous déployez un serveur NPS (Network Policy Server) en tant que serveur RADIUS (Remote Authentication Dial-In User Service), NPS effectue l’authentification, l’autorisation et la gestion des comptes pour les demandes de connexion pour le domaine local et pour les domaines qui approuvent le domaine local. Vous pouvez utiliser ces instructions de planification pour simplifier votre déploiement RADIUS.

Ces instructions de planification n’incluent pas les circonstances dans lesquelles vous souhaitez déployer NPS en tant que proxy RADIUS. Lorsque vous déployez NPS en tant que proxy RADIUS, NPS transfère les demandes de connexion à un serveur exécutant NPS ou à d’autres serveurs RADIUS dans des domaines distants, des domaines non approuvés, ou les deux.

Avant de déployer NPS en tant que serveur RADIUS sur votre réseau, suivez les instructions suivantes pour planifier votre déploiement.

  • Planifiez la configuration NPS.

  • Planifiez les clients RADIUS.

  • Planifiez l’utilisation des méthodes d’authentification.

  • Planifiez les stratégies réseau.

  • Planifier la gestion des comptes de serveur NPS.

Planifiez la configuration NPS.

Vous devez décider du domaine dans lequel le serveur NPS est membre. Pour les environnements à plusieurs domaines, un serveur NPS peut authentifier les informations d’identification des comptes d’utilisateur dans le domaine dont il est membre et pour tous les domaines qui approuvent le domaine local du serveur NPS. Pour permettre au serveur NPS de lire les propriétés de numérotation des comptes d’utilisateur pendant le processus d’autorisation, vous devez ajouter le compte d’ordinateur du serveur NPS au groupe RAS et NPS pour chaque domaine.

Une fois que vous avez déterminé l’appartenance au domaine du serveur NPS, le serveur doit être configuré pour communiquer avec les clients RADIUS, également appelés serveurs d’accès réseau, à l’aide du protocole RADIUS. En outre, vous pouvez configurer les types d’événements enregistrés par NPS dans le journal des événements et entrer une description pour le serveur.

Étapes clés

Pendant la planification de la configuration du serveur NPS, vous pouvez utiliser les étapes suivantes.

  • Déterminez les ports RADIUS que le serveur NPS utilise pour recevoir les messages RADIUS des clients RADIUS. Les ports UDP par défaut sont 1812 et 1645 pour les messages d’authentification RADIUS et les ports 1813 et 1646 pour les messages de comptabilité RADIUS.

  • Si le serveur NPS est configuré avec plusieurs cartes réseau, déterminez les cartes sur lesquelles vous souhaitez autoriser le trafic RADIUS.

  • Déterminez les types d’événements que vous souhaitez que NPS enregistre dans le journal des événements. Vous pouvez consigner les demandes d’authentification rejetées, les demandes d’authentification réussies ou les deux types de demandes.

  • Déterminez si vous déployez plusieurs serveurs NPS. Pour fournir une tolérance de panne pour l’authentification et la gestion des comptes basées sur RADIUS, utilisez au moins deux serveurs NPS. Un serveur NPS est utilisé comme serveur RADIUS principal et l’autre est utilisé comme sauvegarde. Chaque client RADIUS est ensuite configuré sur les deux serveurs NPS. Si le serveur NPS principal devient indisponible, les clients RADIUS envoient des messages Access-Request au serveur NPS de remplacement.

  • Planifiez le script utilisé pour copier une configuration NPS vers d’autres serveurs NPS, afin d’économiser sur la surcharge administrative et d’éviter la configuration incorrecte d’un serveur. NPS fournit les commandes Netsh qui vous permettent de copier tout ou partie d’une configuration NPS à importer sur un autre serveur NPS. Vous pouvez exécuter les commandes manuellement à l’invite Netsh. Toutefois, si vous enregistrez votre séquence de commandes en tant que script, vous pouvez exécuter le script à une date ultérieure si vous décidez de modifier vos configurations de serveur.

Planifiez les clients RADIUS

Les clients RADIUS sont des serveurs d’accès réseau, tels que des points d’accès sans fil, des serveurs de réseau privé virtuel (VPN), des commutateurs compatibles 802.1X et des serveurs d’accès à distance. Les proxy RADIUS, qui transfèrent les messages de demande de connexion aux serveurs RADIUS, sont également des clients RADIUS. Le serveur NPS prend en charge tous les serveurs d’accès réseau et les proxys RADIUS conformes au protocole RADIUS, comme décrit dans RFC 2865, « Service RADIUS (Remote Authentication Dial-in User Service) » et RFC 2866, « Radius Accounting ».

Important

Les clients d’accès, tels que les ordinateurs clients, ne sont pas des clients RADIUS. Seuls les serveurs d’accès réseau et les serveurs proxy qui prennent en charge le protocole RADIUS sont des clients RADIUS.

En outre, les points d’accès sans fil et les commutateurs doivent être capables d’authentification 802.1X. Si vous souhaitez déployer le protocole EAP (Extensible Authentication Protocol) ou le protocole PEAP (Protected Extensible Authentication Protocol), les points d’accès et les commutateurs doivent prendre en charge l’utilisation d’EAP.

Pour tester l’interopérabilité de base des connexions PPP pour les points d’accès sans fil, configurez le point d’accès et le client d’accès pour utiliser le protocole PAP (Password Authentication Protocol). Utilisez des protocoles d’authentification PPP supplémentaires, tels que PEAP, jusqu’à ce que vous ayez testé ceux que vous envisagez d’utiliser pour l’accès réseau.

Étapes clés

Pendant la planification des clients RADIUS, vous pouvez effectuer les étapes suivantes.

  • Documentez les attributs spécifiques au fournisseur (VSA) que vous devez configurer dans le serveur NPS. Si vos serveurs d’accès réseau nécessitent des VSA, journalisez les informations VSA pour une utilisation ultérieure lorsque vous configurez vos stratégies réseau dans le serveur NPS.

  • Documentez les adresses IP des clients RADIUS et votre serveur NPS pour simplifier la configuration de tous les appareils. Lorsque vous déployez vos clients RADIUS, vous devez les configurer pour qu’ils utilisent le protocole RADIUS, avec l’adresse IP NPS entrée comme serveur d’authentification. Lorsque vous configurez NPS pour communiquer avec vos clients RADIUS, vous devez entrer les adresses IP du client RADIUS dans le composant logiciel enfichable de serveur NPS.

  • Créez des secrets partagés pour la configuration sur les clients RADIUS et dans le composant logiciel enfichable du serveur NPS. Vous devez configurer les clients RADIUS avec un secret partagé, ou un mot de passe, que vous allez également entrer dans le composant logiciel enfichable de serveur NPS lors de la configuration des clients RADIUS dans le serveur NPS.

Planifiez l’utilisation des méthodes d’authentification.

Le serveur NPS prend en charge les méthodes d’authentification par mot de passe et par certificat. Toutefois, tous les serveurs d’accès réseau ne prennent pas en charge les mêmes méthodes d’authentification. Dans certains cas, vous pouvez déployer une méthode d’authentification différente en fonction du type d’accès réseau.

Par exemple, vous pourriez souhaiter déployer à la fois l’accès sans fil et l’accès VPN pour votre organisation, mais vous utilisez une méthode d’authentification différente pour chaque type d’accès : EAP-TLS pour les connexions VPN, en raison de la sécurité renforcée que fournit EAP avec Transport Layer Security (EAP-TLS) et PEAP-MS-CHAP v2 pour les connexions sans fil 802.1X.

PEAP avec Microsoft Challenge Handshake Authentication Protocol version 2 (PEAP-MS-CHAP v2) fournit une fonctionnalité nommée reconnexion rapide qui est spécifiquement conçue pour une utilisation avec des ordinateurs portables et d’autres appareils sans fil. La reconnexion rapide permet aux clients sans fil de se déplacer entre des points d’accès sans fil sur le même réseau sans être ré-authentifiés chaque fois qu’ils sont associés à un nouveau point d’accès. Cela offre une meilleure expérience aux utilisateurs sans fil et leur permet de se déplacer d’un point d’accès à l’autre sans avoir à ressaisir leurs informations d’identification. En raison de la reconnexion rapide et de la sécurité que fournit PEAP-MS-CHAP v2, PEAP-MS-CHAP v2 est un choix logique en tant que méthode d’authentification pour les connexions sans fil.

Pour les connexions VPN, EAP-TLS est une méthode d’authentification basée sur des certificats, qui offre une sécurité forte protégeant le trafic réseau, même si elle est transmise sur Internet à partir d’ordinateurs personnels ou mobiles vers les serveurs VPN de votre organisation.

Méthodes d’authentification basée sur un certificat

Les méthodes d’authentification basées sur les certificats présentent l’avantage d’offrir une sécurité forte et l’inconvénient d’être plus difficiles à déployer que les méthodes d’authentification par mot de passe.

PEAP-MS-CHAP v2 et EAP-TLS sont des méthodes d’authentification basées sur des certificats, mais il existe de nombreuses différences entre elles et dans la façon dont elles sont déployées.

EAP-TLS

EAP-TLS utilise des certificats pour l’authentification client et serveur, et vous oblige à déployer une infrastructure à clé publique (PKI) dans votre organisation. Le déploiement d’une infrastructure à clé publique peut être complexe et nécessite une phase de planification indépendante de la planification de l’utilisation de NPS en tant que serveur RADIUS.

Avec EAP-TLS, le serveur NPS inscrit un certificat de serveur auprès d’une autorité de certification et le certificat est enregistré sur l’ordinateur local dans le magasin de certificats. Pendant le processus d’authentification, l’authentification du serveur se produit lorsque le serveur NPS envoie son certificat de serveur au client d’accès pour prouver son identité au client d’accès. Le client d’accès examine différentes propriétés de certificat pour déterminer si le certificat est valide et approprié pour une utilisation lors de l’authentification du serveur. Si le certificat de serveur répond aux exigences minimales du certificat de serveur et est émis par une autorité de certification approuvée par le client d’accès, le serveur NPS est correctement authentifié par le client.

De même, l’authentification du client se produit pendant le processus d’authentification lorsque le client envoie son certificat client au serveur NPS pour prouver son identité au serveur NPS. Le serveur NPS examine le certificat et, si le certificat client répond aux exigences minimales du certificat client et est émis par une autorité de certification approuvée par le serveur NPS, le client d’accès est correctement authentifié par le serveur NPS.

Bien qu’il soit obligatoire que le certificat de serveur soit stocké dans le magasin de certificats sur le serveur NPS, le certificat client ou utilisateur peut être stocké dans le magasin de certificats sur le client ou sur une carte à puce.

Pour que ce processus d’authentification réussisse, il est nécessaire que tous les ordinateurs disposent du certificat d’autorité de certification de votre organisation dans le magasin de certificats Autorités de certification racines de confiance pour l’ordinateur local et l’utilisateur actuel.

PEAP-MS-CHAP v2

La méthode PEAP-MS-CHAP v2 utilise un certificat pour l’authentification du serveur et des informations d’identification basées sur un mot de passe pour l’authentification utilisateur. Étant donné que les certificats sont utilisés uniquement pour l’authentification du serveur, vous n’êtes pas obligé de déployer une infrastructure à clé publique pour utiliser la méthode PEAP-MS-CHAP v2. Lorsque vous déployez PEAP-MS-CHAP v2, vous pouvez obtenir un certificat de serveur pour le serveur NPS de l’une des deux manières suivantes :

  • Vous pouvez installer les services de certificats Active Directory (AD CS), puis inscrire automatiquement des certificats auprès des serveurs NPS. Si vous utilisez cette méthode, vous devez également inscrire le certificat d’autorité de certification sur les ordinateurs clients qui se connectent à votre réseau afin qu’ils approuvent le certificat émis pour le serveur NPS.

  • Vous pouvez acheter un certificat de serveur auprès d’une autorité de certification publique telle que VeriSign. Si vous utilisez cette méthode, veillez à sélectionner une autorité de certification déjà approuvée par les ordinateurs clients. Pour déterminer si les ordinateurs clients approuvent une autorité de certification, ouvrez le composant logiciel enfichable Microsoft Management Console (MMC) Certificats sur un ordinateur client, puis affichez le magasin Autorités de certification racines approuvées pour l’ordinateur local et pour l’utilisateur actuel. S’il existe un certificat de l’autorité de certification dans ces magasins de certificats, l’ordinateur client approuve l’autorité de certification et approuve donc tout certificat émis par l’autorité de certification.

Pendant le processus d’authentification avec la méthode PEAP-MS-CHAP v2, l’authentification du serveur se produit lorsque le serveur NPS envoie son certificat de serveur à l’ordinateur client. Le client d’accès examine différentes propriétés de certificat pour déterminer si le certificat est valide et approprié pour une utilisation lors de l’authentification du serveur. Si le certificat de serveur répond aux exigences minimales du certificat de serveur et est émis par une autorité de certification approuvée par le client d’accès, le serveur NPS est correctement authentifié par le client.

L’authentification utilisateur se produit lorsqu’un utilisateur tente de se connecter au réseau entre des informations d’identification basées sur un mot de passe et tente de se connecter. Le serveur NPS reçoit les informations d’identification et effectue l’authentification et l’autorisation. Si l’utilisateur est authentifié et autorisé avec succès, et si l’ordinateur client a correctement authentifié le serveur NPS, la demande de connexion est accordée.

Étapes clés

Pendant la planification de l’utilisation des méthodes d’authentification, vous pouvez effectuer les étapes suivantes.

  • Identifiez les types d’accès réseau que vous envisagez d’offrir, tels que la connexion sans fil, le VPN, le commutateur compatible 802.1X et l’accès à distance.

  • Déterminez la ou les méthodes d’authentification que vous souhaitez utiliser pour chaque type d’accès. Il est recommandé d’utiliser les méthodes d’authentification basées sur les certificats qui offrent une sécurité forte. Toutefois, il n’est peut-être pas pratique pour vous de déployer une infrastructure à clé publique, de sorte que d’autres méthodes d’authentification peuvent fournir un meilleur équilibre de ce dont vous avez besoin pour votre réseau.

  • Si vous déployez EAP-TLS, planifiez votre déploiement PKI. Cela inclut la planification des modèles de certificats que vous allez utiliser pour les certificats de serveur et les certificats d’ordinateur client. Cela comprend également de déterminer l’inscription des certificats sur les ordinateurs membres et non membres du domaine, et déterminer si vous souhaitez utiliser des cartes à puce.

  • Si vous déployez PEAP-MS-CHAP v2, déterminez si vous souhaitez installer AD CS pour émettre des certificats de serveur à vos serveurs NPS ou si vous souhaitez acheter des certificats de serveur auprès d’une autorité de certification publique, telle que VeriSign.

Planifiez les stratégies réseau

Les stratégies réseau sont utilisées par le serveur NPS pour déterminer si les demandes de connexion reçues des clients RADIUS sont autorisées. Le serveur NPS utilise également les propriétés de numérotation du compte d’utilisateur pour déterminer l’autorisation.

Étant donné que les stratégies réseau sont traitées dans l’ordre dans lequel elles apparaissent dans le composant logiciel enfichable de serveur NPS, prévoyez de placer vos stratégies les plus restrictives en premier dans la liste des stratégies. Pour chaque demande de connexion, le serveur NPS tente de faire correspondre les conditions de la stratégie avec les propriétés de la demande de connexion. Le serveur NPS examine chaque stratégie réseau dans l’ordre jusqu’à ce qu’il trouve une correspondance. S’il ne trouve pas de correspondance, la demande de connexion est rejetée.

Étapes clés

Pendant la planification des stratégies réseau, vous pouvez effectuer les étapes suivantes.

  • Déterminez l’ordre de traitement préféré du serveur NPS des stratégies réseau, du plus restrictif au moins restrictif.

  • Déterminez l’état de la stratégie. La valeur de l’état de stratégie peut être activée ou désactivée. Si la stratégie est activée, le serveur NPS évalue la stratégie lors de l’exécution de l’autorisation. Si la stratégie n’est pas activée, elle n’est pas évaluée.

  • Déterminez le type de la stratégie. Vous devez déterminer si la stratégie est conçue pour accorder l’accès lorsque les conditions de la stratégie sont mises en correspondance par la demande de connexion ou si la stratégie est conçue pour refuser l’accès lorsque les conditions de la stratégie sont mises en correspondance par la demande de connexion. Par exemple, si vous souhaitez refuser explicitement l’accès sans fil aux membres d’un groupe Windows, vous pouvez créer une stratégie réseau qui spécifie le groupe, la méthode de connexion sans fil et qui a un paramètre de type de stratégie Refuser l’accès.

  • Déterminez si vous souhaitez que le serveur NPS ignore les propriétés de numérotation des comptes d’utilisateur membres du groupe sur lequel la stratégie est basée. Lorsque ce paramètre n’est pas activé, les propriétés de numérotation des comptes d’utilisateur remplacent les paramètres configurés dans les stratégies réseau. Par exemple, si une stratégie réseau est configurée pour accorder l’accès à un utilisateur, mais que les propriétés de numérotation du compte d’utilisateur pour cet utilisateur sont définies pour refuser l’accès, l’accès est refusé à l’utilisateur. Toutefois, si vous activez le paramètre de type de stratégie Ignorer les propriétés de numérotation au compte d’utilisateur, l’accès au réseau est accordé au même utilisateur.

  • Déterminez si la stratégie utilise le paramètre de source de la stratégie. Ce paramètre vous permet de spécifier facilement une source pour toutes les demandes d’accès. Les sources possibles sont une passerelle TS (Terminal Services Gateway), un serveur d’accès à distance (VPN ou accès à distance), un serveur DHCP, un point d’accès sans fil et un serveur d’autorité d’enregistrement d’intégrité. Vous pouvez également spécifier une source spécifique au fournisseur.

  • Déterminez les conditions qui doivent être mises en correspondance pour que la stratégie réseau soit appliquée.

  • Déterminez les paramètres appliqués si les conditions de la stratégie réseau sont mises en correspondance par la demande de connexion.

  • Déterminez si vous souhaitez utiliser, modifier ou supprimer les stratégies réseau par défaut.

Planifier la gestion des comptes du serveur NPS

NPS offre la possibilité de journaliser les données comptables RADIUS, telles que l’authentification utilisateur et les demandes de gestion des comptes, dans trois formats : format IAS, format compatible avec la base de données et journalisation Microsoft SQL Server.

Le format IAS et le format compatible avec la base de données créent des fichiers journaux sur le serveur NPS local au format de fichier texte.

SQL Server journalisation offre la possibilité de se connecter à une base de données compatible XML SQL Server 2000 ou SQL Server 2005, en étendant la gestion des comptes RADIUS pour tirer parti des avantages de la journalisation dans une base de données relationnelle.

Étapes clés

Pendant la planification de la gestion des comptes du serveur NPS, vous pouvez utiliser les étapes suivantes.

  • Déterminez si vous souhaitez stocker les données de comptabilité NPS dans des fichiers journaux ou dans une base de données SQL Server.

Gestion des comptes de serveur NPS à l’aide de fichiers journaux locaux

L’enregistrement des demandes d’authentification et de gestion des comptes des utilisateurs dans les fichiers journaux est principalement utilisé à des fins d’analyse et de facturation des connexions, et est également utile en tant qu’outil d’investigation de sécurité, qui vous fournit une méthode pour suivre l’activité d’un utilisateur malveillant après une attaque.

Étapes clés

Pendant la planification de la gestion des comptes du serveur NPS à l’aide de fichiers journaux locaux, vous pouvez effectuer les étapes suivantes.

  • Déterminez le format de fichier texte que vous souhaitez utiliser pour vos fichiers journaux de serveur NPS.

  • Choisissez le type d’informations que vous souhaitez journaliser. Vous pouvez enregistrer les demandes de gestion des comptes, les demandes d’authentification et l’état périodique.

  • Déterminez l’emplacement du disque dur où vous souhaitez stocker vos fichiers journaux.

  • Concevez votre solution de sauvegarde de fichier journal. L’emplacement du disque dur où vous stockez vos fichiers journaux doit être un emplacement qui vous permet de sauvegarder facilement vos données. En outre, l’emplacement du disque dur doit être protégé en configurant la liste de contrôle d’accès (ACL) pour le dossier où sont stockés les fichiers journaux.

  • Déterminez la fréquence à laquelle vous souhaitez créer de nouveaux fichiers journaux. Si vous souhaitez créer des fichiers journaux en fonction de la taille de fichier, déterminez la taille de fichier maximale autorisée avant qu’un nouveau fichier journal ne soit créé par le serveur NPS.

  • Déterminez si vous souhaitez que le serveur NPS supprime les fichiers journaux plus anciens si le disque dur manque d’espace de stockage.

  • Déterminez l’application ou les applications que vous souhaitez utiliser pour afficher les données comptables et produire des rapports.

Journalisation SQL Server de serveur NPS

La journalisation SQL Server de serveur NPS est utilisée lorsque vous avez besoin d’informations d’état de session, à des fins de création de rapports et d’analyse des données, ainsi que pour centraliser et simplifier la gestion de vos données comptables.

Le serveur NPS offre la possibilité d’utiliser la journalisation SQL Server pour enregistrer les demandes d’authentification utilisateur et de gestion des comptes reçues d’un ou de plusieurs serveurs d’accès réseau à une source de données sur un ordinateur exécutant Microsoft SQL Server Desktop Engine (MSDE 2000), ou toute version de SQL Server postérieure à SQL Server 2000.

Les données comptables sont transmises du serveur NPS au format XML à une procédure stockée dans la base de données, qui prend en charge à la fois le langage de requête structurée (SQL) et le langage XML (SQLXML). L’enregistrement des demandes d’authentification et de gestion des comptes des utilisateurs dans une base de données SQL Server xml permet à plusieurs serveurs NPS d’avoir une seule source de données.

Étapes clés

Pendant la planification de la gestion des comptes du serveur NPS à l’aide de la journalisation NPS SQL Server, vous pouvez utiliser les étapes suivantes.

  • Déterminez si vous ou un autre membre de votre organisation avez de l’expérience de développement de bases de données relationnelles SQL Server 2000 ou SQL Server 2005 et si vous comprenez comment utiliser ces produits pour créer, modifier, administrer et gérer les bases de données SQL Server.

  • Déterminez si SQL Server est installé sur le serveur NPS ou sur un ordinateur distant.

  • Concevez la procédure stockée que vous utiliserez dans votre base de données SQL Server pour traiter les fichiers XML entrants qui contiennent des données comptables du serveur NPS.

  • Concevez la structure et le flux de réplication de base de données SQL Server.

  • Déterminez l’application ou les applications que vous souhaitez utiliser pour afficher les données comptables et produire des rapports.

  • Prévoyez d’utiliser des serveurs d’accès réseau qui envoient l’attribut Class dans toutes les demandes de gestion des comptes. L’attribut Class est envoyé au client RADIUS dans un message Access-Accept et est utile pour mettre en corrélation les messages Accounting-Request avec des sessions d’authentification. Si l’attribut Class est envoyé par le serveur d’accès réseau dans les messages de demande de gestion des comptes, il peut être utilisé pour faire correspondre les enregistrements de gestion des comptes et d’authentification. La combinaison des attributs Unique-Serial-Number, Service-Reboot-Time et Server-Address doit être une identification unique pour chaque authentification acceptée par le serveur.

  • Prévoyez d’utiliser des serveurs d’accès réseau qui prennent en charge la gestion des comptes intermédiaire.

  • Prévoyez d’utiliser des serveurs d’accès réseau qui envoient des messages Accounting-on et Accounting-off.

  • Prévoyez d’utiliser des serveurs d’accès réseau qui prennent en charge le stockage et le transfert des données comptables. Les serveurs d’accès réseau qui prennent en charge cette fonctionnalité peuvent stocker des données comptables lorsque le serveur d’accès réseau ne peut pas communiquer avec le serveur NPS. Lorsque le serveur NPS est disponible, le serveur d’accès réseau transfère les enregistrements stockés au serveur NPS, ce qui offre une fiabilité accrue de la gestion des comptes sur les serveurs d’accès réseau qui ne fournissent pas cette fonctionnalité.

  • Prévoyez de toujours configurer l’attribut Acct-Interim-Interval dans les stratégies réseau. L’attribut Acct-Interim-Interval définit l’intervalle (en secondes) entre chaque mise à jour intermédiaire envoyée par le serveur d’accès réseau. Selon la RFC 2869, la valeur de l’attribut Acct-Interim-Interval ne doit pas être inférieure à 60 secondes (1 minute) et ne devrait pas être inférieure à 600 secondes (10 minutes), les valeurs supérieures à 600 secondes réduisant la fréquence des mises à jour reçues par le serveur RADIUS. Pour plus d’informations, consultez la RFC 2869.

  • Vérifiez que la journalisation de l’état périodique est activée sur vos serveurs NPS.