Verkkoyhteydet ja VPN 13 min lukuaika

Windows 11 verkon vianmääritys 2026 – Komentorivikomennot ja PowerShell-diagnostiikka

Ratkaise Windows 11 -verkko-ongelmat tehokkaasti. IT-tukiopas ipconfig-, tracert-, nslookup-, pathping- ja PowerShell-komentoihin – päivitetty 2026.

Marcus WhitfordReviewed by Karen Mitchell, May 2026
Windows 11 -verkon vianmääritys 2026

Verkko-ongelmat ovat yksi IT-tukitiimien yleisimmistä tukipyynnöistä – ja usein kaikkein turhauttavimmista. Käyttäjä ei pääse internettiin, yrityksen sisäverkkoon tai pilvipalveluihin, ja jokainen menetetty minuutti maksaa tuottavuutta. Olen nähnyt tapauksia, joissa tunnin ongelmanratkaisu olisi ratkaistu viidessä minuutissa oikeilla työkaluilla. Windows 11:ssä on kattava arsenali komentorivikomentoja ja PowerShell-diagnostiikkatyökaluja, joiden avulla IT-tukihenkilöt pystyvät paikallistamaan ja korjaamaan verkko-ongelmat systemaattisesti. Tässä oppaassa käydään kaikki olennaiset työkalut läpi järjestyksessä – yksinkertaisimmasta edistyneimpään.

Ensimmäiset askeleet: Windows 11:n automaattinen verkkovianmääritys

Ennen kuin siirrytään komentoriville, kannattaa kokeilla Windowsin sisäänrakennettuja automaattisia vianmääritysohjelmia. Ne ratkaisevat yleisimmät ongelmat muutamassa minuutissa ilman teknistä osaamista – ja rehellisesti sanottuna, ne yllättävät toimivuudellaan useammin kuin luulisi.

Get Help -sovelluksen verkkovianmääritys

Windows 11:ssä automaattinen vianmääritys löytyy seuraavasti:

  1. Avaa Asetukset painamalla Win + I
  2. Siirry kohtaan Järjestelmä > Vianmääritys > Muut vianmääritysohjelmat
  3. Etsi Internet-yhteydet ja napsauta Suorita
  4. Seuraa ohjeita – työkalu voi korjata IP-konfiguraation, DHCP-vuokrauksen tai verkkokortin ajuri-ongelmat automaattisesti

Huomio 2026: Microsoft poisti perinteisen SaRA-vianmääritytyökalun maaliskuun 2026 tietoturvapäivityksessä ja korvasi sen GetHelpCmd.exe-komentorivityökalulla. Tämä uusi työkalu tarjoaa vastaavat diagnostiikkaominaisuudet paremmalla suojauksella ja soveltuu erityisesti etähallintaskripteihin.

Verkkosovittimen vianmääritysohjelma

Jos Internet-yhteydet-vianmääritys ei ratkaise ongelmaa, kokeile samasta valikosta Verkkosovitin-vianmääritysohjelmaa. Se nollaa verkkokortin ajurin, käynnistää verkkopalvelut uudelleen ja voi uusia IP-osoitteen vuokrauksen automaattisesti.

ipconfig – Verkkoasetukset näkyviin yhdellä komennolla

ipconfig on IT-tukihenkilön tärkein perustyökalu – ja lähes jokainen verkkopuhelu alkaa tästä. Se paljastaa koneen IP-osoitteen, aliverkon maskin, oletusyhdyskäytävän ja DNS-palvelimet sekunnissa.

Tärkeimmät ipconfig-komennot

# Näytä kaikki adapteri- ja yhteystiedot
ipconfig /all

# Vapauta nykyinen DHCP-IP-osoite
ipconfig /release

# Pyydä uusi IP-osoite DHCP-palvelimelta
ipconfig /renew

# Tyhjennä DNS-välimuisti (korjaa vanhentuneet DNS-tietueet)
ipconfig /flushdns

# Näytä nykyisen DNS-välimuistin sisältö
ipconfig /displaydns

Käytännön vinkki: Kun käyttäjä ilmoittaa, että tietty sivusto ei avaudu mutta muilla koneilla se toimii, suorita ensin ipconfig /displaydns tarkastaaksesi, onko välimuistissa vanhentunut DNS-tietue. Jos löydät ongelmallisen domainin tietueen, poista koko välimuisti ipconfig /flushdns -komennolla ja testaa uudelleen.

DHCP vai staattinen IP: Komennon ipconfig /all tulosteessa rivi "DHCP Enabled: Yes" tarkoittaa automaattista IP-osoitetta. Rivi "DHCP Enabled: No" viittaa staattiseen konfiguraatioon – tarkista silloin, onko osoite, aliverkko ja yhdyskäytävä oikein. Autoconfiguration-osoite (169.254.x.x) kertoo, että kone ei tavoita DHCP-palvelinta. Tämä on yleinen merkki verkkokaapelin irtoamisesta tai langattoman verkon yhteysongelmasta – usein kyse on pienestä asiasta.

ping – Yhteyden perustestitys

ping lähettää ICMP-testipaketteja kohteeseen ja mittaa vasteajan. Nopein tapa tarkistaa, onko kohde ylipäätään tavoitettavissa.

# Perusping – testaa, vastaako kohde
ping google.com

# Ping suoraan IP-osoitteeseen (ohittaa DNS-selvityksen)
ping 8.8.8.8

# Jatkuva ping seurantaan (Ctrl+C pysäyttää)
ping -t google.com

# Ping suuremmalla pakettikoolla – testaa MTU-ongelmia
ping -l 1472 google.com

Vastauksen tulkinta:

  • Request timed out – kohde ei vastaa tai ICMP on estetty palomuurissa
  • Destination host unreachable – reititin tai kohde ei ole tavoitettavissa
  • TTL expired in transit – paketti kulkee liian monen hypyn kautta (mahdollinen reitityssilmukka)

Tärkeä huomio: Jos ping epäonnistuu, mutta verkkoselain toimii normaalisti, palomuurisäännöt todennäköisesti estävät ICMP-liikenteen. Tämä ei tarkoita verkon olevan poikki – verkkosivut käyttävät TCP:tä, ei ICMP:tä. (Tämä sekoittaa loppukäyttäjiä enemmän kuin mikään muu.)

tracert – Reitin jäljitys hyppy hypyltä

tracert näyttää jokaisen reitittimen, jonka kautta datapaketti kulkee kohteeseen. Korvaamaton työkalu selvittämään, missä kohtaa yhteysketju katkeaa tai hidastuu. Käytännössä tracert on se työkalu, jolla pystyt sanomaan asiakkaalle täsmälleen missä ongelma on – eikä vain, että "jossain matkalla".

# Jäljitä reitti kohteeseen (näyttää kaikki välisolmut)
tracert google.com

# Jäljitys suoraan IP-osoitteeseen (ohittaa DNS)
tracert 8.8.8.8

# Rajoita hyppyjen enimmäismäärää (oletuksena 30)
tracert -h 15 google.com

# Nopeutettu jäljitys – näyttää vain IP-osoitteet, ei nimiä
tracert -d google.com

Tulosten tulkinta: Kiinnitä huomiota hyppyihin, joissa vasteaika kasvaa merkittävästi tai näkyy kolme tähteä (* * *). Yksittäinen * * *-hyppy ei yleensä tarkoita ongelmaa – monet reitittimet estävät ICMP-vastaukset tarkoituksella. Jos vasteaika kasvaa dramaattisesti tietyn hypyn jälkeen ja pysyy korkeana lopussa, ongelma sijaitsee todennäköisesti siinä kohdassa tai välittömästi sen jälkeen.

DNS-ongelman tunnistaminen tracertilla: Jos tracert google.com epäonnistuu, mutta tracert 8.8.8.8 onnistuu, ongelma on DNS-selvityksessä eikä itse verkkoyhteydessä. Siirry tällöin nslookup-osioon.

pathping – Tarkin yhdistelmädiagnostiikka

pathping yhdistää pingin ja tracertin parhaat puolet. Se tekee ensin reittijäljityksen, sitten testaa pakettihäviötä ja viivettä jokaisessa hypyssä erikseen. Erityisen arvokas työkalu katkonaisten verkkoyhteyksien vianmäärityksessä – se on se työkalu, johon kannattaa tarttua kun käyttäjä sanoo "yhteys toimii välillä".

# Perus pathping – kestää useita minuutteja
pathping google.com

# Rajoita hyppyjen enimmäismäärää
pathping -h 20 google.com

# Aseta uudelleenyrityksen aikaikkuna millisekunteina
pathping -w 200 google.com

Milloin käyttää pathpingiä: Kun käyttäjä raportoi, että yhteys toimii välillä mutta katkeilee – normaali ping saattaa näyttää OK, mutta pathping paljastaa pakettihäviöt välisolmuissa. Muista kuitenkin, että testi kestää useita minuutteja (oletuksena noin 25 sekuntia per hyppy), sillä se lähettää useita testipaketteja jokaiseen välireitittimeen tilastojen keräämiseksi.

nslookup – DNS-ongelmien diagnosointi

nslookup on välttämätön DNS-ongelmien diagnosointiin. Se kyselee DNS-palvelimilta tietoja ja paljastaa, toimiiko nimipalvelujen selvitys oikein ja mikä DNS-palvelin vastaa.

# Perus DNS-selvitys
nslookup google.com

# Kysy tiettyä DNS-palvelinta (ohittaa Windowsin oletuspalvelimen)
nslookup google.com 8.8.8.8

# Hae sähköpostipalvelimen tietueet (MX)
nslookup -type=MX yritys.fi

# Hae kaikki DNS-tietueet
nslookup -type=ANY yritys.fi

# Käänteinen DNS-selvitys (IP-osoitteesta nimeen)
nslookup 8.8.8.8

Yleinen ongelmatilanne: Käyttäjä pystyy pingaamaan IP-osoitteen 8.8.8.8, mutta verkkosivustot eivät avaudu nimellä. Tässä tilanteessa nslookup google.com paljastaa heti, vastaako DNS-palvelin oikein. Jos nslookup epäonnistuu, mutta ping 8.8.8.8 onnistuu, ongelma on varmasti DNS:ssä. Testaa vaihtoehtoinen DNS-palvelin:

# Kokeile Googlen julkista DNS-palvelinta
nslookup google.com 8.8.8.8

# Kokeile Cloudflaren DNS-palvelinta
nslookup google.com 1.1.1.1

Yritysympäristön huomio: Active Directory -verkoissa domain-nimet (esim. yritys.local) selvitetään sisäisillä DNS-palvelimilla, jotka yleensä sijaitsevat toimialueen ohjauspalvelimilla. Jos nslookup yritys.local epäonnistuu, tarkista ensin, osoittavatko koneen DNS-asetukset (ipconfig /all) oikeaan DC:hen. Syvällisempi Active Directory -diagnostiikka löytyy oppaastamme AD-tilien lukituksen vianmäärityksestä PowerShellin ja tapahtumalokien avulla.

netstat – Aktiiviset yhteydet ja kuuntelevat portit

netstat näyttää kaikki aktiiviset TCP/UDP-yhteydet ja kuuntelevat portit. Tästä on hyötyä selvitettäessä, kuunteleeko sovellus oikeassa portissa tai onko koneella odottamattomia ulkopuolisia yhteyksiä.

# Näytä kaikki aktiiviset yhteydet
netstat -an

# Näytä yhteydet prosessitunnuksineen (PID)
netstat -ano

# Suodata tietty portti (esim. RDP-portti 3389)
netstat -an | findstr :3389

# Näytä vain kuuntelevat portit
netstat -an | findstr LISTENING

Vinkki: PowerShellin Get-NetTCPConnection korvaa netstat-komennon modernimmalla ja skriptattavammalla versiolla – katso seuraava osio.

PowerShell-diagnostiikka – IT-ammattilaisen tehotyökalut

PowerShell tarjoaa merkittävästi tehokkaammat verkkodiagnostiikkatyökalut kuin perinteinen komentorivi. Ne ovat täysin skriptattavia, tuottavat jäsenneltyä dataa ja soveltuvat erinomaisesti automaatioon ja etähallintaan. Lyhyesti sanottuna: jos teet tätä työtä päivittäin, ota PowerShell haltuun.

Get-NetAdapter – Verkkokorttien tila yhdellä silmäyksellä

# Näytä kaikki verkkoadapterit ja niiden tila
Get-NetAdapter

# Suodata vain aktiiviset (yhdistetyt) adapterit
Get-NetAdapter | Where-Object { $_.Status -eq "Up" }

# Yksityiskohtaiset tiedot kaikista adaptereista
Get-NetAdapter | Format-List *

# Ota adapteri käyttöön (vaatii järjestelmänvalvojan oikeudet)
Enable-NetAdapter -Name "Ethernet" -Confirm:$false

# Poista adapteri käytöstä
Disable-NetAdapter -Name "Wi-Fi" -Confirm:$false

Get-NetAdapter paljastaa adapterin nimen, kuvauksen, MAC-osoitteen, linkin nopeuden (esim. 1 Gbps) ja tilan. Tarkista ensin, onko ongelmallinen adapteri tilassa Up vai Disconnected. Jos adapteri on tilassa Disabled, se on ehkä vahingossa poistettu käytöstä – käynnistä se uudelleen Enable-NetAdapter -komennolla.

Test-NetConnection – Kattavin yhteystestaustyökalu

Test-NetConnection on yksi hyödyllisimmistä diagnostiikkatyökaluista Windows 11:ssä. Se yhdistää pingin, porttitestauksen ja reitin jäljityksen yhteen cmdletiin ja tuottaa selkeän, jäsennellyn tulosteen.

# Perusyhteyden testaus (ping-vastine)
Test-NetConnection -ComputerName google.com

# Testaa yhteys tiettyyn TCP-porttiin
Test-NetConnection -ComputerName yrityspalvelin.fi -Port 443

# Testaa useita portteja kerralla
$ports = 80, 443, 3389, 445
foreach ($port in $ports) {
    Test-NetConnection -ComputerName yrityspalvelin.fi -Port $port |
        Select-Object ComputerName, RemotePort, TcpTestSucceeded
}

# Jäljitä reitti kohteeseen (tracert-vastine)
Test-NetConnection -ComputerName google.com -TraceRoute

# Hiljaisempi tulos – sopii skriptikäyttöön
Test-NetConnection -ComputerName google.com -InformationLevel Quiet

# Diagnosoi reititys tietylle kohteelle
Test-NetConnection -ComputerName 8.8.8.8 -DiagnoseRouting

Helpdeskin käytännön skenaario – RDP ei toimi: Käyttäjä raportoi, että etätyöpöytäyhteys ei muodostu. Ennen pitkää vianmääritystä tarkista porttiyhteys yhdellä komennolla:

Test-NetConnection -ComputerName etakone.yritys.fi -Port 3389

Jos tulos on TcpTestSucceeded : True – RDP-portti on auki ja ongelma on muualla (tunnistautuminen, etätyöpöytälisenssi, NLA-vaatimus). Jos tulos on TcpTestSucceeded : False – palomuurisääntö tai Windows Firewall estää yhteyden, tai RDP-palvelu ei ole käynnissä. Samankaltaisia yhteysongelmia esiintyy usein VPN-yhteyksien kanssa – katso kattava korjausopas: Windows 11 VPN-yhteysongelmien vianmääritys, virhekoodit ja Always On VPN.

Get-NetTCPConnection – PowerShell-netstat

# Kaikki aktiiviset TCP-yhteydet
Get-NetTCPConnection

# Vain kuuntelevat portit
Get-NetTCPConnection -State Listen

# Aktiiviset yhteydet prosessitietojen kanssa
Get-NetTCPConnection -State Established |
    Select-Object LocalAddress, LocalPort, RemoteAddress, RemotePort,
    @{Name="Process"; Expression={(Get-Process -Id $_.OwningProcess -ErrorAction SilentlyContinue).Name}}

Valmis diagnostiikkaskripti helpdesk-käyttöön

Tämä skripti kerää olennaiset verkkotiedot yhdellä ajolla ja sopii erinomaisesti etätuen yhteydessä suoritettavaksi:

# Kattava verkkodiagnostiikkaraportti – Aja PowerShellissä järjestelmänvalvojana
Write-Host "=== IP-konfiguraatio ===" -ForegroundColor Cyan
Get-NetIPConfiguration | Select-Object InterfaceAlias, IPv4Address,
    @{N="Gateway"; E={$_.IPv4DefaultGateway.NextHop}},
    @{N="DNS"; E={$_.DNSServer.ServerAddresses -join ", "}}

Write-Host "`n=== Verkkoadapterit ===" -ForegroundColor Cyan
Get-NetAdapter | Select-Object Name, Status, LinkSpeed, MacAddress

Write-Host "`n=== Yhdyskäytävän tavoitettavuus ===" -ForegroundColor Cyan
$gw = (Get-NetIPConfiguration | Where-Object { $_.IPv4DefaultGateway }).IPv4DefaultGateway.NextHop
if ($gw) { Test-NetConnection -ComputerName $gw -InformationLevel Quiet }

Write-Host "`n=== Internetyhteys (Google DNS) ===" -ForegroundColor Cyan
Test-NetConnection -ComputerName "8.8.8.8" -InformationLevel Quiet

Write-Host "`n=== DNS-selvitys ===" -ForegroundColor Cyan
Resolve-DnsName google.com -ErrorAction SilentlyContinue |
    Select-Object -First 2 Name, Type, IPAddress

Verkkoasetusten täydellinen nollaus – Viimeinen keino

Jos kaikki edelliset toimenpiteet eivät auta, verkkoasetusten nollaus voi korjata syvemmät konfiguraatio-ongelmat, kuten vioittuneen Winsock-katalogin tai korruptoituneen TCP/IP-pinon. Varoitus: Toimenpide poistaa tallennetut Wi-Fi-salasanat ja voi edellyttää VPN-asiakasohjelmien uudelleenasennuksen.

Nollaus Asetuksista (suositeltava)

  1. Avaa Asetukset (Win + I)
  2. Siirry: Verkko ja internet > Verkon lisäasetukset > Verkkojen nollaus
  3. Napsauta Nollaa nyt ja vahvista valinta
  4. Odota, kun Windows käynnistyy automaattisesti uudelleen

Nollaus komentoriviltä (vaatii järjestelmänvalvojan oikeudet)

# Nollaa Winsock-katalogi (korjaa socket-ongelmat)
netsh winsock reset

# Nollaa TCP/IP-pino
netsh int ip reset

# Tyhjennä DNS-välimuisti
ipconfig /flushdns

# Vapauta ja uusi IP-osoite
ipconfig /release
ipconfig /renew

Käynnistä kone uudelleen kaikkien nollausoperaatioiden jälkeen. Verkkoadapterit asennetaan uudelleen ja asetukset palautuvat oletuksiin. Muista asettaa verkkoasetukset (staattinen IP tai verkon profiili) takaisin tarvittaessa.

Systemaattinen vianmäärityksen tarkistuslista

Seuraa tätä järjestystä, niin paikalistat verkko-ongelman lähteen nopeasti:

  1. Tarkista adapteri: Get-NetAdapter – onko tila Up?
  2. Tarkista IP-konfiguraatio: ipconfig /all – onko IP, maski, yhdyskäytävä ja DNS oikein? Autoconfiguration-osoite (169.254.x.x) viittaa DHCP-ongelmaan.
  3. Testaa lähiverkko: ping [yhdyskäytävän IP] – onko reititin tavoitettavissa?
  4. Testaa internet-reititys: ping 8.8.8.8 – toimiiko reititys ISP:n yli?
  5. Testaa DNS: nslookup google.com – selvitetäänkö verkkotunnukset oikein?
  6. Jäljitä reitti: tracert google.com – missä hypyssä yhteys katkeaa?
  7. Testaa tarvittavat portit: Test-NetConnection -ComputerName [palvelin] -Port [portti]
  8. Tarkista aktiiviset yhteydet: Get-NetTCPConnection -State Established
  9. Viimeinen keino: Winsock-nollaus + TCP/IP-pinon nollaus + uudelleenkäynnistys

Usein kysytyt kysymykset

Miten tyhjennän DNS-välimuistin Windows 11:ssä?

Avaa komentokehote tai PowerShell järjestelmänvalvojana ja suorita komento ipconfig /flushdns. Saat vahvistusviestin "Successfully flushed the DNS Resolver Cache". Tämä korjaa tilanteet, joissa vanhentunut DNS-tietue estää sivuston latautumisen.

Mitä eroa on ping- ja pathping-komentojen välillä?

Ping testaa pelkän yhteyden kohteeseen ja mittaa vasteajan. Pathping tekee ensin reittijäljityksen (kuten tracert), sitten mittaa pakettihäviön ja viiveen jokaisessa hypyssä erikseen – antaen paljon tarkemman kuvan siitä, missä kohtaa verkossa ongelma sijaitsee. Pathping on hitaampi mutta huomattavasti informatiivisempi.

Miten testaan, onko tietty portti auki palvelimella?

Käytä PowerShellin Test-NetConnection-cmdletiä: Test-NetConnection -ComputerName palvelin.fi -Port 443. Kentästä TcpTestSucceeded näet välittömästi, onko portti auki (True) vai suljettu/estetty (False). Tämä on huomattavasti luotettavampi kuin vanhat telnet-testit.

Miksi tracert näyttää * * * joissakin hyppäyksissä?

Kolme tähteä (* * *) tarkoittaa, että kyseinen reititin ei vastaa ICMP-testipaketteihin – usein tarkoituksellisesti tietoturvasyistä. Yksittäinen * * * -rivi ei siis yleensä tarkoita katkosta. Jos * * * jatkuu loppuun asti tai vasteaika kasvaa huomattavasti sen jälkeen, ongelma todennäköisesti sijaitsee siinä kohdassa.

Milloin pitäisi nollata verkkoasetukset Windows 11:ssä?

Verkkoasetusten nollaus on viimeinen keino, kun kaikki muut toimenpiteet – ipconfig-nollaus, DNS-välimuistin tyhjennys, ajuripäivitys ja automaattinen vianmääritys – on jo kokeiltu. Se soveltuu erityisesti tilanteisiin, joissa Winsock-katalogi on korruptoitunut tai TCP/IP-pino toimii poikkeavasti. Muista, että nollaus poistaa tallennetut Wi-Fi-salasanat.

Tietoa Kirjoittajasta Marcus Whitford

Marcus spent 11 years on enterprise helpdesks before moving into MSP team lead work - first at a 400-seat law firm running a hybrid AD/Entra environment, then four years at Rackspace handling escalations for mid-market M365 tenants. He holds MS-102 (Microsoft 365 Administrator Expert) and the older MCSA: Windows Server, and writes most of the Intune and Conditional Access material here. His subspecialty is the messy middle of M365 migrations: tenant-to-tenant moves, the OneDrive known-folder-move rollout that breaks half a department's desktop shortcuts, and the Conditional Access policy that locks the CEO out at 6am on a Monday. He has personally rebuilt three Exchange hybrid configurations after botched cutovers and still keeps a printed copy of the Hybrid Configuration Wizard logs on his desk as a warning. Outside work he restores 1990s ThinkPads and runs a small home lab on refurbished Dell R730s.

Verkkosivu@mwhitford_it

Aiheeseen Liittyvät Artikkelit