วิธีดู Log VPN บน Windows Server 2022 วิเคราะห์ปัญหาการเชื่อมต่อแบบมืออาชีพ

 เมื่อ VPN บน Windows Server 2022 เกิดปัญหา ไม่ว่าจะเป็นเชื่อมต่อไม่ได้ หลุดบ่อย Login ไม่ผ่าน หรือเชื่อมต่อได้แต่ใช้งานเครือข่ายไม่ได้ สิ่งแรกที่ผู้ดูแลระบบควรตรวจสอบคือ Log ของ VPN

Log เป็นแหล่งข้อมูลสำคัญที่ช่วยระบุสาเหตุของปัญหาได้อย่างแม่นยำ โดย Windows Server 2022 มีระบบบันทึกเหตุการณ์ที่ละเอียดมากผ่าน Event Viewer, RRAS และ Network Policy Server (NPS)

บทความนี้จะสอนการดู Log VPN บน Windows Server 2022 ตั้งแต่ระดับพื้นฐานไปจนถึงการวิเคราะห์ปัญหาเชิงลึก

🔹 ทำไมต้องดู Log VPN

Log ช่วยให้ทราบว่า

✅ ใครพยายามเชื่อมต่อ

✅ เชื่อมต่อสำเร็จหรือไม่

✅ ใช้ VPN Protocol อะไร

✅ เกิด Error อะไร

✅ หลุดการเชื่อมต่อเพราะสาเหตุใด

✅ มีการโจมตีระบบหรือไม่

สำหรับองค์กรที่มีผู้ใช้งานจำนวนมาก การดู Log เป็นทักษะสำคัญของผู้ดูแลระบบ

🔹 ตำแหน่ง Log VPN บน Windows Server 2022

Log หลักจะอยู่ใน

Event Viewer

เปิดได้โดย

eventvwr.msc

หรือ

Server Manager

Tools

Event Viewer

🔹 ดู Log ของ RRAS

เปิด

Event Viewer

ไปที่

Applications and Services Logs

Microsoft

Windows

RemoteAccess

Operational

ตำแหน่งนี้เป็นจุดที่ใช้วิเคราะห์ VPN มากที่สุด

ข้อมูลที่พบได้

✅ Login Success

✅ Login Failed

✅ Authentication Error

✅ Session Disconnect

✅ Connection Timeout

🔹 ดู Log ของ Routing and Remote Access

ไปที่

Windows Logs

System

ค้นหา Source

RemoteAccess

หรือ

RemoteAccessServer

จะพบข้อมูลเกี่ยวกับ

  • RRAS Start

  • RRAS Stop

  • Port Failure

  • Routing Error

🔹 ดู Log ของ NPS Server

หากใช้งาน

Network Policy Server

ไปที่

Custom Views

Server Roles

Network Policy and Access Services

จะพบข้อมูล

✅ Authentication Success

✅ Authentication Failure

✅ Policy Match

✅ Policy Reject

องค์กรขนาดใหญ่ส่วนมากจะตรวจสอบ Log ส่วนนี้เป็นประจำ

🔹 Event ID สำคัญที่ควรรู้

Event ID 20271

แสดงว่า

User Connected Successfully

ผู้ใช้งานเชื่อมต่อสำเร็จ

Event ID 20272

แสดงว่า

User Disconnected

ผู้ใช้งานตัดการเชื่อมต่อ

Event ID 20276

แสดงว่า

Authentication Failed

การยืนยันตัวตนล้มเหลว

Event ID 20255

แสดงว่า

Connection Attempt Failed

การเชื่อมต่อล้มเหลว

🔹 วิธีค้นหาเฉพาะ Error

ใน Event Viewer

เลือก

Filter Current Log

เลือก

Level

Error

หรือ

Warning

จะช่วยให้หาปัญหาได้เร็วขึ้น

🔹 วิธีดูผู้ใช้งานที่เชื่อมต่ออยู่

เปิด

Routing and Remote Access

เลือก

Remote Access Clients

จะแสดง

✅ Username

✅ Assigned IP

✅ Duration

✅ Protocol

เป็นข้อมูลแบบ Real-Time

ผู้ดูแลระบบของ comsiam มักใช้หน้านี้ร่วมกับ Event Viewer เพื่อวิเคราะห์ปัญหา VPN ได้รวดเร็วขึ้น

🔹 เปิด Log แบบละเอียดเพิ่มเติม

เปิด

Routing and Remote Access

คลิกขวาที่ Server

Properties

Logging

เลือก

Log Additional Routing and Remote Access Information

จะช่วยให้เก็บข้อมูลเพิ่มขึ้น

เหมาะสำหรับการวิเคราะห์ปัญหาซับซ้อน

🔹 ดู Log ผ่าน PowerShell

ตรวจสอบ Event ล่าสุด

Get-EventLog -LogName System -Newest 20

ค้นหา Remote Access

Get-WinEvent -LogName System | Where-Object {$_.ProviderName -like "*Remote*"}

ค้นหา Error ล่าสุด

Get-WinEvent -FilterHashtable @{LogName='System'; Level=2}

🔹 Export Log ออกเป็นไฟล์

ใน Event Viewer

เลือก

Save All Events As

บันทึกเป็น

.evtx

สามารถส่งให้ทีม Support วิเคราะห์ได้

🔹 วิเคราะห์ Error ยอดนิยม

Error 691

สาเหตุ

  • Password ผิด

  • User Disabled

  • Dial-in Permission ผิด

Error 809

สาเหตุ

  • Firewall Block

  • Port ไม่เปิด

  • Router ไม่ Forward

Error 789

สาเหตุ

  • L2TP/IPsec ผิดพลาด

  • Certificate ผิด

  • Pre-Shared Key ไม่ตรง

Error 13801

สาเหตุ

  • Certificate ของ IKEv2 ไม่ถูกต้อง

🔹 ดู Log SSTP

ไปที่

Applications and Services Logs

Microsoft

Windows

SstpSvc

Operational

ใช้สำหรับวิเคราะห์

✅ SSL Error

✅ Certificate Error

✅ SSTP Disconnect

🔹 ดู Log IKEv2

ไปที่

Applications and Services Logs

Microsoft

Windows

IKEEXT

Operational

ใช้ตรวจสอบ

✅ Certificate

✅ Authentication

✅ IPsec Negotiation

🔹 ดู Log Security

เปิด

Windows Logs

Security

สามารถดู

✅ Login Success

✅ Login Failure

✅ User Activity

ช่วยตรวจสอบการโจมตีระบบได้

🔹 แนวทางวิเคราะห์ VPN อย่างมืออาชีพ

เมื่อ VPN มีปัญหา

ให้ตรวจสอบตามลำดับ

1️⃣ RRAS Running หรือไม่

2️⃣ Event Viewer

3️⃣ Firewall

4️⃣ Router

5️⃣ NPS

6️⃣ Certificate

7️⃣ User Permission

วิธีนี้ช่วยลดเวลาการแก้ปัญหาได้มาก

🔹 Best Practices

✅ เก็บ Log อย่างน้อย 90 วัน

✅ สำรอง Log เป็นประจำ

✅ ตรวจสอบ Error ทุกวัน

✅ ใช้ NPS Logging

✅ ใช้ SIEM หากเป็นองค์กรขนาดใหญ่

✅ ตรวจสอบ Login ผิดปกติ

หลายองค์กรที่ทีมงาน comsiam ดูแลมีการส่ง Log เข้า SIEM เพื่อวิเคราะห์เหตุการณ์ด้านความปลอดภัยแบบอัตโนมัติ

🔹 สรุป

การดู Log VPN บน Windows Server 2022 เป็นทักษะสำคัญที่ช่วยให้ผู้ดูแลระบบสามารถแก้ปัญหา VPN ได้อย่างรวดเร็วและแม่นยำ โดย Event Viewer, RRAS และ NPS ถือเป็นแหล่งข้อมูลหลักที่ควรตรวจสอบทุกครั้งเมื่อเกิดปัญหา

หากเข้าใจ Event ID สำคัญ วิธีกรอง Error และการวิเคราะห์ Log อย่างเป็นระบบ คุณจะสามารถลดเวลา Downtime ของ VPN และเพิ่มความเสถียรให้กับระบบ Remote Access ได้อย่างมีประสิทธิภาพ ซึ่งเป็นแนวทางที่ผู้ดูแลระบบมืออาชีพและทีมงาน comsiam ใช้กับ Windows Server 2022 ในสภาพแวดล้อมจริง

Popular posts from this blog

Windows Server 2022 ยังน่าใช้ในปีนี้หรือไม่? คำตอบสำหรับคนกำลังวางระบบใหม่

 เมื่อมี Windows Server รุ่นใหม่ออกมา หลายคนเริ่มสงสัยว่า "Windows Server 2022 ยังน่าใช้หรือไม่?" "ควรติดตั้ง Windows Server 2022 หรือข้ามไปใช้รุ่นใหม่เลย?" คำถามนี้เกิดขึ้นบ่อยในองค์กรที่กำลังวางระบบใหม่ ซื้อ Server ใหม่ หรือมีแผนอัปเกรดจาก Windows Server รุ่นเก่า ความจริงคือ Windows Server 2022 ยังคงเป็นหนึ่งในระบบปฏิบัติการ Server ที่ได้รับความนิยมสูงมากทั่วโลก และยังถูกใช้งานในองค์กรทุกขนาดอย่างแพร่หลาย บทความนี้จะวิเคราะห์แบบตรงไปตรงมาว่า Windows Server 2022 ยังน่าใช้หรือไม่ในปัจจุบัน ① Windows Server 2022 ถือว่าเก่าหรือยัง? หากมองในโลก IT Windows Server 2022 ไม่ถือว่าเป็นระบบที่ล้าสมัย เหตุผลคือ ยังได้รับการอัปเดตความปลอดภัย ยังได้รับการสนับสนุนจาก Microsoft รองรับ Hardware รุ่นใหม่จำนวนมาก รองรับ Cloud และ Hybrid Cloud หลายองค์กรทั่วโลกยังคงติดตั้ง Windows Server 2022 เป็นระบบใหม่ในปัจจุบัน ดังนั้นคำว่า "เก่า" ยังไม่ใช่คำที่เหมาะกับ Server รุ่นนี้ ② ทำไมหลายองค์กรยังเลือก Windows Server 2022? สาเหตุหลักคือ ความเสถียร ผ่านการใช้งานจริงมาหลายปี Bug จำ...
Read more

สเปกเครื่องสำหรับติดตั้ง Windows Server 2022 เลือกอย่างไรให้คุ้มและใช้งานได้ยาว

 การเลือกสเปก Server เป็นหนึ่งในขั้นตอนที่สำคัญที่สุดก่อนติดตั้ง Windows Server 2022 หลายองค์กรซื้อเครื่องแรงเกินความจำเป็นจนเสียเงินจำนวนมาก ขณะที่บางองค์กรเลือกสเปกต่ำเกินไปจนระบบช้า ต้องอัปเกรดใหม่ภายในเวลาไม่นาน คำถามสำคัญคือ "Windows Server 2022 ต้องใช้สเปกเครื่องแบบไหน?" คำตอบขึ้นอยู่กับลักษณะงาน จำนวนผู้ใช้ และแผนการเติบโตขององค์กร บทความนี้จะช่วยให้คุณเลือกสเปกได้เหมาะสมที่สุด ① สเปกขั้นต่ำของ Windows Server 2022 ตามข้อกำหนดขั้นต่ำของระบบ CPU 64-bit 1.4 GHz ขึ้นไป RAM 512 MB (Server Core) 2 GB (Desktop Experience) Storage 32 GB Network Gigabit Ethernet Adapter อย่างไรก็ตาม สเปกนี้มีไว้สำหรับการติดตั้งระบบเท่านั้น ไม่เหมาะกับการใช้งานจริง ② สเปกแนะนำสำหรับสำนักงานขนาดเล็ก เหมาะสำหรับ 5–20 ผู้ใช้ File Server Domain Controller DNS DHCP แนะนำ CPU Intel Xeon หรือ Intel Core รุ่นใหม่ 4–6 Core RAM 16 GB Storage SSD 500 GB Network Gigabit LAN เพียงพอสำหรับงานพื้นฐานขององค์กรขนาดเล็ก ③ สเปกแนะนำสำหรับ SME เหมาะสำหรับ 20–100 ผู้ใช้ รองรับ Active Directory File Server VPN Monito...
Read more

Windows Server 2022 คืออะไร? คู่มือสำหรับมือใหม่

Windows Server 2022 เป็นระบบปฏิบัติการสำหรับเซิร์ฟเวอร์ที่พัฒนาโดย Microsoft ออกแบบมาเพื่อใช้ในองค์กร ธุรกิจ โรงงาน ศูนย์ข้อมูล (Data Center) และหน่วยงานต่าง ๆ ที่ต้องการจัดการผู้ใช้งาน ไฟล์ข้อมูล ระบบเครือข่าย และแอปพลิเคชันจากส่วนกลางอย่างมีประสิทธิภาพ หากคุณเพิ่งเริ่มต้นศึกษาเรื่อง Server หรือกำลังมองหาระบบสำหรับบริษัท บทความนี้จะช่วยให้เข้าใจว่า Windows Server 2022 คืออะไร ใช้ทำอะไรได้บ้าง และเหมาะกับธุรกิจประเภทใด ① Windows Server 2022 คืออะไร? Windows Server 2022 คือระบบปฏิบัติการสำหรับเซิร์ฟเวอร์ (Server Operating System) ที่ต่อยอดจาก Windows Server 2019 โดยเพิ่มความปลอดภัย ประสิทธิภาพ และการรองรับระบบ Cloud และ Hybrid Cloud ให้ดียิ่งขึ้น หน้าที่หลักของ Windows Server คือการเป็นศูนย์กลางในการจัดการ ผู้ใช้งานภายในองค์กร ไฟล์และโฟลเดอร์ส่วนกลาง ระบบเครือข่าย เครื่องพิมพ์ ฐานข้อมูล เว็บไซต์ เครื่องเสมือน (Virtual Machine) ระบบสำรองข้อมูล กล่าวง่าย ๆ คือเป็น "หัวใจหลัก" ของระบบ IT ภายในองค์กร ② Windows Server 2022 ใช้ทำอะไรได้บ้าง? Windows Server 2022 สามารถทำงานได้หลากหลา...
Read more