วิธีสร้าง Network Policy บน Windows Server 2022 ควบคุมสิทธิ์ VPN และ RADIUS แบบมืออาชีพ

 Network Policy เป็นหัวใจสำคัญของการทำงานร่วมกันระหว่าง VPN Server, RADIUS Server และ NPS (Network Policy Server) บน Windows Server 2022 เพราะเป็นส่วนที่กำหนดว่าใครสามารถเชื่อมต่อได้ ใครถูกปฏิเสธ และต้องผ่านเงื่อนไขอะไรบ้างก่อนเข้าสู่เครือข่ายองค์กร

หลายองค์กรติดตั้ง NPS และ RADIUS สำเร็จแล้ว แต่ผู้ใช้งานยัง Login VPN ไม่ได้ สาเหตุส่วนใหญ่มักเกิดจากการสร้าง Network Policy ไม่ถูกต้อง

บทความนี้จะอธิบายวิธีสร้าง Network Policy บน Windows Server 2022 ตั้งแต่พื้นฐานจนถึงแนวทางใช้งานจริงในองค์กร

🔹 Network Policy คืออะไร

Network Policy คือชุดกฎ (Rules)

ที่ NPS ใช้ในการตัดสินใจว่า

✅ อนุญาตการเชื่อมต่อ

✅ ปฏิเสธการเชื่อมต่อ

✅ กำหนดวิธี Authentication

✅ กำหนดข้อจำกัดการใช้งาน

ทุกครั้งที่ User พยายามเชื่อมต่อ VPN

NPS จะตรวจสอบ Network Policy ก่อนเสมอ

🔹 ตัวอย่างการใช้งาน Network Policy

ตัวอย่างเช่น

  • อนุญาตเฉพาะกลุ่ม VPN Users

  • อนุญาตเฉพาะฝ่าย IT

  • อนุญาตเฉพาะช่วงเวลาทำงาน

  • บังคับใช้ MFA

  • จำกัดประเภทอุปกรณ์

ทั้งหมดนี้สามารถทำได้ผ่าน Network Policy

🔹 สิ่งที่ต้องเตรียม

ก่อนสร้าง Policy

ควรมี

✅ Windows Server 2022

✅ Active Directory

✅ NPS Installed

✅ Security Group

✅ VPN Server หรือ RADIUS Client

🔹 เปิด NPS Console

ไปที่

Tools

Network Policy Server

หรือ

nps.msc

จากนั้นเลือก

Policies

Network Policies

🔹 สร้าง Policy ใหม่

คลิกขวา

Network Policies

เลือก

New

🔹 ตั้งชื่อ Policy

ตัวอย่าง

VPN Access Policy

หรือ

Remote Access Policy

ควรตั้งชื่อให้สื่อความหมาย

เพื่อให้บริหารจัดการง่ายในอนาคต

🔹 เลือกประเภท Network Access Server

เลือก

Remote Access Server (VPN-Dial up)

กด Next

สำหรับการใช้งาน VPN

🔹 เพิ่มเงื่อนไข (Conditions)

เงื่อนไขคือหัวใจสำคัญของ Policy

คลิก

Add

🔹 ใช้ Windows Group

เลือก

Windows Groups

กด Add Groups

เพิ่ม

VPN Users

หรือ

Remote Access Users

เฉพาะสมาชิกกลุ่มนี้เท่านั้นที่ผ่าน Policy ได้

🔹 เพิ่มหลาย Group

ตัวอย่าง

VPN-IT

VPN-Management

VPN-Accounting

ช่วยแบ่งสิทธิ์ตามแผนกได้

🔹 กำหนด Permission

เลือก

Access Granted

เพื่ออนุญาตการเชื่อมต่อ

หรือ

Access Denied

เพื่อปฏิเสธการเชื่อมต่อ

🔹 กำหนด Authentication Method

แนะนำ

✅ MS-CHAP v2

✅ EAP

หลีกเลี่ยง

❌ PAP

❌ CHAP

เนื่องจากไม่ปลอดภัย

🔹 กำหนด Encryption

เลือก

Strongest Encryption (MPPE 128-bit)

หรือสูงกว่า

เพื่อป้องกันการดักจับข้อมูล

🔹 กำหนด Constraint เพิ่มเติม

Network Policy สามารถกำหนดได้อีก เช่น

✅ Session Timeout

✅ Idle Timeout

✅ Authentication Type

✅ NAS Port Type

เหมาะสำหรับองค์กรที่ต้องการควบคุมการใช้งานอย่างละเอียด

🔹 กำหนดช่วงเวลาการใช้งาน

สามารถสร้าง Policy เพิ่มเติม

เพื่ออนุญาตเฉพาะ

  • วันทำงาน

  • เวลาทำงาน

ช่วยลดความเสี่ยงจากการใช้งานนอกเวลางาน

🔹 กำหนด Policy ตามแผนก

ตัวอย่าง

ฝ่าย IT

VPN-IT

ฝ่ายบัญชี

VPN-Accounting

ผู้บริหาร

VPN-Executive

ช่วยควบคุมการเข้าถึงทรัพยากรได้ดีขึ้น

🔹 ลำดับความสำคัญของ Policy

NPS จะตรวจสอบ Policy จากบนลงล่าง

หากพบ Policy ที่ตรงเงื่อนไขก่อน

จะหยุดตรวจสอบทันที

ดังนั้นควรจัดลำดับให้เหมาะสม

🔹 วิธีทดสอบ Policy

หลังสร้างเสร็จ

ทดลอง Login VPN

ด้วย User ที่อยู่ใน Group

VPN Users

ควรเชื่อมต่อได้

จากนั้นลอง User ที่ไม่ได้อยู่ใน Group

ควรถูกปฏิเสธ

🔹 วิธีดูผลลัพธ์จาก Event Viewer

เปิด

Event Viewer

ไปที่

Custom Views

Server Roles

Network Policy and Access Services

จะพบ

✅ Policy Match

✅ Access Granted

✅ Access Denied

ผู้ดูแลระบบของ comsiam มักตรวจสอบส่วนนี้เมื่อผู้ใช้งานแจ้งว่า VPN ใช้งานไม่ได้

🔹 Error ที่พบบ่อย

Error 812

ข้อความ

Connection prevented because of policy

สาเหตุ

User ไม่ตรงกับเงื่อนไข

🔹 Error 691

สาเหตุ

Password หรือ Authentication Method ไม่ถูกต้อง

🔹 Error 809

สาเหตุ

VPN Server ติดต่อไม่ได้

ไม่เกี่ยวกับ Policy

🔹 ใช้งานร่วมกับ MFA

Network Policy สามารถทำงานร่วมกับ

✅ Microsoft Entra MFA

✅ Azure MFA

✅ Duo MFA

✅ RSA MFA

ช่วยเพิ่มความปลอดภัยได้มาก

🔹 Best Practices

✅ ใช้ Security Group

✅ แยก Policy ตามแผนก

✅ เปิด Logging

✅ ใช้ MFA

✅ ใช้ EAP หรือ MS-CHAP v2

✅ ตรวจสอบ Policy ทุกไตรมาส

หลายองค์กรที่ทีมงาน comsiam ดูแลจะใช้ Group-Based Policy ทั้งหมด เพื่อให้การบริหารจัดการ VPN บน Windows Server 2022 เป็นระบบและขยายได้ง่าย

🔹 ตัวอย่างโครงสร้าง Policy ที่แนะนำ

VPN-Executive
VPN-IT
VPN-Accounting
VPN-HR
VPN-BranchOffice

ช่วยจัดการสิทธิ์ได้อย่างชัดเจน

🔹 สรุป

Network Policy เป็นองค์ประกอบสำคัญของระบบ NPS และ VPN บน Windows Server 2022 เพราะทำหน้าที่กำหนดว่าใครสามารถเข้าถึงเครือข่ายได้ และต้องผ่านเงื่อนไขอะไรบ้าง

การออกแบบ Policy ที่ดีโดยใช้ Security Group, MFA และ Authentication ที่ปลอดภัย จะช่วยให้ระบบ VPN มีความปลอดภัยสูง บริหารจัดการง่าย และรองรับการเติบโตขององค์กรในอนาคต ซึ่งเป็นแนวทางมาตรฐานที่องค์กรขนาดใหญ่และทีมงาน comsiam นิยมใช้บน Windows Server 2022

Popular posts from this blog

Windows Server 2022 ยังน่าใช้ในปีนี้หรือไม่? คำตอบสำหรับคนกำลังวางระบบใหม่

 เมื่อมี Windows Server รุ่นใหม่ออกมา หลายคนเริ่มสงสัยว่า "Windows Server 2022 ยังน่าใช้หรือไม่?" "ควรติดตั้ง Windows Server 2022 หรือข้ามไปใช้รุ่นใหม่เลย?" คำถามนี้เกิดขึ้นบ่อยในองค์กรที่กำลังวางระบบใหม่ ซื้อ Server ใหม่ หรือมีแผนอัปเกรดจาก Windows Server รุ่นเก่า ความจริงคือ Windows Server 2022 ยังคงเป็นหนึ่งในระบบปฏิบัติการ Server ที่ได้รับความนิยมสูงมากทั่วโลก และยังถูกใช้งานในองค์กรทุกขนาดอย่างแพร่หลาย บทความนี้จะวิเคราะห์แบบตรงไปตรงมาว่า Windows Server 2022 ยังน่าใช้หรือไม่ในปัจจุบัน ① Windows Server 2022 ถือว่าเก่าหรือยัง? หากมองในโลก IT Windows Server 2022 ไม่ถือว่าเป็นระบบที่ล้าสมัย เหตุผลคือ ยังได้รับการอัปเดตความปลอดภัย ยังได้รับการสนับสนุนจาก Microsoft รองรับ Hardware รุ่นใหม่จำนวนมาก รองรับ Cloud และ Hybrid Cloud หลายองค์กรทั่วโลกยังคงติดตั้ง Windows Server 2022 เป็นระบบใหม่ในปัจจุบัน ดังนั้นคำว่า "เก่า" ยังไม่ใช่คำที่เหมาะกับ Server รุ่นนี้ ② ทำไมหลายองค์กรยังเลือก Windows Server 2022? สาเหตุหลักคือ ความเสถียร ผ่านการใช้งานจริงมาหลายปี Bug จำ...
Read more

สเปกเครื่องสำหรับติดตั้ง Windows Server 2022 เลือกอย่างไรให้คุ้มและใช้งานได้ยาว

 การเลือกสเปก Server เป็นหนึ่งในขั้นตอนที่สำคัญที่สุดก่อนติดตั้ง Windows Server 2022 หลายองค์กรซื้อเครื่องแรงเกินความจำเป็นจนเสียเงินจำนวนมาก ขณะที่บางองค์กรเลือกสเปกต่ำเกินไปจนระบบช้า ต้องอัปเกรดใหม่ภายในเวลาไม่นาน คำถามสำคัญคือ "Windows Server 2022 ต้องใช้สเปกเครื่องแบบไหน?" คำตอบขึ้นอยู่กับลักษณะงาน จำนวนผู้ใช้ และแผนการเติบโตขององค์กร บทความนี้จะช่วยให้คุณเลือกสเปกได้เหมาะสมที่สุด ① สเปกขั้นต่ำของ Windows Server 2022 ตามข้อกำหนดขั้นต่ำของระบบ CPU 64-bit 1.4 GHz ขึ้นไป RAM 512 MB (Server Core) 2 GB (Desktop Experience) Storage 32 GB Network Gigabit Ethernet Adapter อย่างไรก็ตาม สเปกนี้มีไว้สำหรับการติดตั้งระบบเท่านั้น ไม่เหมาะกับการใช้งานจริง ② สเปกแนะนำสำหรับสำนักงานขนาดเล็ก เหมาะสำหรับ 5–20 ผู้ใช้ File Server Domain Controller DNS DHCP แนะนำ CPU Intel Xeon หรือ Intel Core รุ่นใหม่ 4–6 Core RAM 16 GB Storage SSD 500 GB Network Gigabit LAN เพียงพอสำหรับงานพื้นฐานขององค์กรขนาดเล็ก ③ สเปกแนะนำสำหรับ SME เหมาะสำหรับ 20–100 ผู้ใช้ รองรับ Active Directory File Server VPN Monito...
Read more

Windows Server 2022 คืออะไร? คู่มือสำหรับมือใหม่

Windows Server 2022 เป็นระบบปฏิบัติการสำหรับเซิร์ฟเวอร์ที่พัฒนาโดย Microsoft ออกแบบมาเพื่อใช้ในองค์กร ธุรกิจ โรงงาน ศูนย์ข้อมูล (Data Center) และหน่วยงานต่าง ๆ ที่ต้องการจัดการผู้ใช้งาน ไฟล์ข้อมูล ระบบเครือข่าย และแอปพลิเคชันจากส่วนกลางอย่างมีประสิทธิภาพ หากคุณเพิ่งเริ่มต้นศึกษาเรื่อง Server หรือกำลังมองหาระบบสำหรับบริษัท บทความนี้จะช่วยให้เข้าใจว่า Windows Server 2022 คืออะไร ใช้ทำอะไรได้บ้าง และเหมาะกับธุรกิจประเภทใด ① Windows Server 2022 คืออะไร? Windows Server 2022 คือระบบปฏิบัติการสำหรับเซิร์ฟเวอร์ (Server Operating System) ที่ต่อยอดจาก Windows Server 2019 โดยเพิ่มความปลอดภัย ประสิทธิภาพ และการรองรับระบบ Cloud และ Hybrid Cloud ให้ดียิ่งขึ้น หน้าที่หลักของ Windows Server คือการเป็นศูนย์กลางในการจัดการ ผู้ใช้งานภายในองค์กร ไฟล์และโฟลเดอร์ส่วนกลาง ระบบเครือข่าย เครื่องพิมพ์ ฐานข้อมูล เว็บไซต์ เครื่องเสมือน (Virtual Machine) ระบบสำรองข้อมูล กล่าวง่าย ๆ คือเป็น "หัวใจหลัก" ของระบบ IT ภายในองค์กร ② Windows Server 2022 ใช้ทำอะไรได้บ้าง? Windows Server 2022 สามารถทำงานได้หลากหลา...
Read more