Khắc phục sự cố 20 phút đọc

Hướng dẫn khắc phục sự cố VPN trên Windows 11 cho IT Helpdesk: Từ mã lỗi đến Always On VPN (2026)

Cẩm nang khắc phục sự cố VPN trên Windows 11 cho IT Helpdesk: mã lỗi thường gặp, sự cố sau Windows Update, Always On VPN, lỗ hổng RRAS 2025-2026 và quy trình xử lý ticket chuẩn với PowerShell scripts.

Editorial Team

Giới thiệu: Tại sao VPN vẫn là "cơn ác mộng" của Helpdesk

Nếu bạn làm việc trong đội ngũ IT Helpdesk, chắc hẳn bạn đã quá quen với kịch bản này: người dùng gọi điện trong hoảng loạn — "Em không kết nối VPN được!". Không truy cập được file server, không vào được ứng dụng nội bộ, không gửi được email qua Exchange. Và tất nhiên, luôn là "gấp lắm anh/chị ơi".

Nói thật, sau nhiều năm xử lý ticket VPN thì mình vẫn thấy nó chưa bao giờ bớt phức tạp. VPN vẫn là xương sống của truy cập từ xa trong doanh nghiệp, đặc biệt khi làm việc hybrid ngày càng phổ biến. Nhưng sự phức tạp cũng tăng theo — từ những thay đổi liên tục trong Windows Update, các lỗ hổng bảo mật RRAS được phát hiện dồn dập trong 2025–2026, đến việc triển khai Always On VPN với Intune và chứng chỉ số.

Bài viết này sẽ là cẩm nang toàn diện dành cho đội ngũ IT Helpdesk, bao gồm:

  • Các giao thức VPN trên Windows 11 và khi nào nên dùng giao thức nào
  • Bảng tra cứu mã lỗi VPN thường gặp (Error 691, 800, 809, 812, 13801…) kèm cách khắc phục
  • VPN bị hỏng sau Windows Update — nguyên nhân và giải pháp
  • Hướng dẫn triển khai và xử lý sự cố Always On VPN (AOVPN)
  • Các lỗ hổng bảo mật RRAS nghiêm trọng 2025–2026 và cách bảo vệ hệ thống
  • Quy trình xử lý ticket VPN chuẩn cho Helpdesk

Pha sẵn một ly cà phê đi — bài này khá dài đấy.

Các giao thức VPN trên Windows 11: So sánh và lựa chọn

Trước khi nhảy vào khắc phục sự cố, bạn cần nắm rõ các giao thức VPN mà Windows 11 hỗ trợ. Nghe có vẻ là lý thuyết nhàm chán, nhưng tin mình đi — hiểu đúng giao thức sẽ giúp bạn giảm đáng kể số lượng ticket.

IKEv2 (Internet Key Exchange version 2)

IKEv2 là giao thức được Microsoft khuyến nghị cho hầu hết các triển khai VPN hiện đại. Nó sử dụng UDP port 500 và 4500 (NAT-T), và có tính năng VPN Reconnect cực kỳ hữu ích — khi kết nối mạng bị gián đoạn ngắn (chẳng hạn chuyển từ Wi-Fi sang 4G/5G), VPN sẽ tự kết nối lại mà người dùng không cần làm gì.

Ưu điểm:

  • Hiệu suất cao, độ trễ thấp
  • Tự động kết nối lại khi chuyển mạng (MOBIKE)
  • Bảo mật mạnh với IPsec encryption
  • Hỗ trợ tốt cho Always On VPN

Nhược điểm:

  • Có thể bị chặn bởi firewall hạn chế (vì dùng UDP)
  • Yêu cầu chứng chỉ server đúng chuẩn

SSTP (Secure Socket Tunneling Protocol)

SSTP là giao thức SSL/TLS của Microsoft, chạy trên TCP port 443 — cùng port với HTTPS. Đây là lựa chọn tuyệt vời khi người dùng kết nối từ các mạng có firewall nghiêm ngặt (khách sạn, sân bay, quán cafe). Nói cách khác, nếu HTTPS hoạt động được thì SSTP cũng hoạt động được.

Ưu điểm:

  • Xuyên qua hầu hết firewall và proxy (vì dùng port 443)
  • Dùng chung chứng chỉ với IKEv2 nếu CA giống nhau
  • Không bị chặn bởi NAT

Nhược điểm:

  • Chỉ hỗ trợ trên Windows (không có trên macOS, Linux native)
  • Hiệu suất thấp hơn IKEv2 do overhead của TCP
  • Không hỗ trợ VPN Reconnect

L2TP/IPsec

L2TP kết hợp với IPsec để mã hóa dữ liệu. Giao thức này vẫn còn được dùng khá nhiều, nhưng thực sự đang dần bị thay thế — và theo mình đó là điều hợp lý.

Ưu điểm:

  • Hỗ trợ đa nền tảng
  • Tương thích với nhiều thiết bị VPN gateway cũ

Nhược điểm:

  • Dễ bị chặn bởi firewall (UDP 500, 1701, 4500)
  • Hiệu suất kém hơn IKEv2
  • Double encapsulation gây overhead

PPTP (Point-to-Point Tunneling Protocol)

PPTP là giao thức lỗi thời và không an toàn. Microsoft đã ngừng khuyến nghị sử dụng từ lâu rồi. Nếu tổ chức của bạn vẫn đang dùng PPTP — thật sự cần lên kế hoạch chuyển đổi ngay lập tức.

Bảng so sánh nhanh

Giao thức Port Bảo mật Xuyên firewall Reconnect Khuyến nghị
IKEv2 UDP 500, 4500 Cao Trung bình Ưu tiên số 1
SSTP TCP 443 Cao Xuất sắc Không Fallback tốt nhất
L2TP/IPsec UDP 500, 1701, 4500 Trung bình Thấp Không Legacy only
PPTP TCP 1723 Rất thấp Thấp Không Không dùng

Mẹo cho Helpdesk: Khi người dùng báo không kết nối VPN được, câu hỏi đầu tiên nên hỏi là: "Anh/chị đang kết nối từ mạng nào?". Nếu từ mạng công ty — kiểm tra IKEv2. Nếu từ mạng khách sạn hay quán cafe — thử chuyển sang SSTP. Bước đơn giản này tiết kiệm rất nhiều thời gian.

Bảng tra cứu mã lỗi VPN thường gặp

Đây là phần mà mọi kỹ thuật viên Helpdesk nên bookmark lại ngay. Mình đã tổng hợp các mã lỗi VPN phổ biến nhất trên Windows 11, nguyên nhân gốc rễ và cách xử lý từng trường hợp cụ thể.

Error 691 — Sai thông tin đăng nhập

Thông báo: "The remote connection was denied because the user name and password combination you provided is not recognized."

Nguyên nhân:

  • Người dùng nhập sai username hoặc password (phổ biến nhất)
  • Caps Lock đang bật
  • Giao thức xác thực trên client không khớp với server
  • Tài khoản bị khóa trong Active Directory
  • Người dùng nhập mật khẩu tài khoản thay vì mật khẩu VPN (nếu dùng pre-shared key)

Nghe đơn giản đúng không? Nhưng Error 691 chiếm phần lớn ticket VPN mà mình từng xử lý. Đa số là do Caps Lock hoặc bàn phím tiếng Việt đang bật mà người dùng không để ý.

Cách xử lý:

  1. Yêu cầu người dùng gõ lại username/password thật cẩn thận
  2. Kiểm tra Caps Lock và bàn phím (đặc biệt bàn phím tiếng Việt có thể gây lỗi ký tự)
  3. Kiểm tra tài khoản AD: Get-ADUser -Identity username -Properties LockedOut
  4. Nếu tài khoản bị khóa: Unlock-ADAccount -Identity username
  5. Kiểm tra giao thức xác thực trong Network Policy Server (NPS)

Error 800 — Không thể thiết lập kết nối

Thông báo: "Unable to establish the VPN connection. The VPN server may be unreachable."

Nguyên nhân:

  • Địa chỉ hoặc hostname VPN server sai
  • Firewall chặn kết nối VPN
  • Máy client mất kết nối Internet
  • Cấu hình IPsec sai (nếu dùng L2TP/IPsec)

Cách xử lý:

  1. Ping hoặc dùng Test-NetConnection đến VPN server: 
    Test-NetConnection vpn.company.com -Port 443
Test-NetConnection vpn.company.com -Port 500
  2. Kiểm tra DNS resolution: nslookup vpn.company.com
  3. Xác nhận Internet hoạt động bình thường
  4. Kiểm tra firewall rule trên cả client và server

Error 809 — Server không phản hồi

Thông báo: "The network connection between your computer and the VPN server could not be established because the remote server is not responding."

Lỗi này trông giống Error 800 nhưng nguyên nhân thường cụ thể hơn.

Nguyên nhân:

  • Port PPTP (TCP 1723), L2TP (UDP 500, 4500), hoặc IKEv2 (UDP 500, 4500) bị chặn bởi firewall/router
  • NAT traversal không được cấu hình đúng
  • VPN server đang down hoặc quá tải

Cách xử lý:

  1. Kiểm tra port connectivity: 
    # Kiểm tra UDP port (cần dùng tool chuyên dụng)
Test-NetConnection vpn.company.com -Port 443
# Hoặc dùng portqry
portqry -n vpn.company.com -e 500 -p udp
  2. Nếu port bị chặn → chuyển sang SSTP (TCP 443)
  3. Kiểm tra trạng thái VPN server: Get-RemoteAccessConnectionStatistics
  4. Thêm registry key cho L2TP qua NAT: 
    New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\PolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Value 2 -PropertyType DWORD -Force

Error 812 — Kết nối bị chặn bởi chính sách

Thông báo: "The connection was prevented because of a policy configured on your RAS/VPN server."

Đây là lỗi khiến nhiều bạn Helpdesk mới vào nghề bối rối vì nó không liên quan đến máy client — vấn đề nằm hoàn toàn ở phía server.

Nguyên nhân:

  • Network Policy Server (NPS) chặn kết nối dựa trên group membership
  • Giao thức xác thực không khớp giữa client và NPS policy
  • Tunnel type không được phép trong NPS policy

Cách xử lý:

  1. Kiểm tra NPS Event Log trên RADIUS server (Event ID 6273 cho denied connections)
  2. Xác nhận người dùng thuộc đúng AD group được phép VPN
  3. Kiểm tra NPS Network Policy → Conditions → Windows Groups
  4. Đảm bảo tunnel type trong NPS policy khớp với client configuration

Error 13801 — Lỗi chứng chỉ IKEv2

Thông báo: "IKE authentication credentials are unacceptable."

Cái tên nghe "lạ" nhưng gặp nhiều lắm, đặc biệt với các hệ thống dùng IKEv2 và certificate-based authentication.

Nguyên nhân:

  • Chứng chỉ server không có đúng EKU (Extended Key Usage)
  • Client không trust root CA đã cấp chứng chỉ cho VPN server
  • Chứng chỉ hết hạn
  • Subject Alternative Name (SAN) không khớp với hostname VPN

Cách xử lý:

  1. Kiểm tra chứng chỉ trên VPN server: 
    # Liệt kê chứng chỉ trên server
Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.EnhancedKeyUsageList -match "Server Authentication"} | Format-List Subject, NotAfter, Thumbprint, EnhancedKeyUsageList
  2. Xác nhận root CA certificate đã được cài trên client: 
    Get-ChildItem Cert:\LocalMachine\Root | Where-Object {$_.Subject -match "YourCA"}
  3. Kiểm tra SAN khớp với VPN hostname
  4. Gia hạn chứng chỉ nếu sắp hết hạn

Event ID 20227 — Xác thực VPN thất bại sau bản cập nhật

Thông báo: "The certificate that authenticates the client to the server is not valid."

Đây là lỗi xuất hiện phổ biến sau bản cập nhật bảo mật tháng 2/2025 của Microsoft, ảnh hưởng đến các kết nối Always On VPN user tunnel. Event 20227 từ nguồn RasClient sẽ xuất hiện trong Event Viewer. Khá nhiều tổ chức bị "dính" lỗi này mà không hiểu tại sao VPN tự dưng hỏng.

Cách xử lý:

  1. Kiểm tra certificate mapping trên Domain Controller
  2. Cập nhật chứng chỉ client với Strong Certificate Mapping (OID 1.3.6.1.4.1.311.25.2)
  3. Tạm thời disable Strong Certificate Mapping nếu cần (không khuyến nghị lâu dài): 
    reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel" /v CertificateMappingMethods /t REG_DWORD /d 0x1F /f

VPN hỏng sau Windows Update: Nguyên nhân và cách xử lý

Thành thật mà nói, đây là một trong những vấn đề gây bực bội nhất cho Helpdesk. Mọi thứ đang chạy ngon lành, rồi sau một đêm Windows Update — bùm, VPN không kết nối được nữa. Và điện thoại thì bắt đầu reo liên tục.

Dưới đây là những bản cập nhật gần đây nhất gây ra sự cố VPN và cách xử lý.

KB5055523 (Windows 11 24H2) — VPN routing bị ảnh hưởng

Bản cập nhật KB5055523 cho Windows 11 24H2 (OS Build 26100.3624) đã gây ra sự cố khá nghiêm trọng: sau khi cài đặt, người dùng vẫn kết nối VPN thành công (biểu tượng hiện "Connected" hẳn hoi) nhưng không thể truy cập tài nguyên mạng nội bộ — file share, máy in mạng, ứng dụng intranet đều không hoạt động.

Nguyên nhân: Bản cập nhật thay đổi hành vi routing và firewall, ảnh hưởng đến traffic đi qua VPN tunnel.

Cách xử lý:

  1. Gỡ bản cập nhật tạm thời: 
    # Kiểm tra bản cập nhật đã cài
Get-HotFix | Where-Object {$_.HotFixID -eq "KB5055523"}

# Gỡ cài đặt
wusa /uninstall /kb:5055523 /quiet /norestart
  2. Kiểm tra route table: 
    route print
# Xác nhận route đến mạng nội bộ đi qua VPN adapter
  3. Thêm route thủ công nếu cần: 
    route add 10.0.0.0 mask 255.0.0.0 [VPN_Gateway_IP] metric 1
  4. Theo dõi bản vá sửa lỗi từ Microsoft

Windows 11 24H2 — Sự cố với VPN client của bên thứ ba

Windows 11 phiên bản 24H2 (Build 26100.2894 trở lên) cũng gây rắc rối với nhiều VPN client enterprise phổ biến như Check Point, Cisco AnyConnect, và GlobalProtect. Biểu hiện điển hình:

  • VPN client không khởi động được sau khi update
  • Driver VPN không tương thích với kernel mới
  • Kết nối VPN bị ngắt liên tục (cứ kết nối xong vài phút lại rớt)

Cách xử lý:

  1. Cập nhật VPN client lên phiên bản mới nhất tương thích với 24H2
  2. Kiểm tra trang hỗ trợ của nhà cung cấp VPN cho known issues
  3. Gỡ và cài lại VPN client
  4. Kiểm tra driver trong Device Manager → Network Adapters

Quy trình chuẩn khi VPN hỏng sau update

Để không bị loạn khi hàng chục user cùng gọi một lúc, Helpdesk nên theo quy trình sau:

  1. Xác định bản cập nhật gần nhất: Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 5
  2. Kiểm tra Known Issues: Truy cập Windows Release Health trên Microsoft Learn — đây là nguồn thông tin chính thức và cập nhật nhanh nhất
  3. Reset network stack: 
    netsh winsock reset
netsh int ip reset
ipconfig /flushdns
ipconfig /release
ipconfig /renew
  4. Cài lại WAN Miniport drivers: Device Manager → Network Adapters → Uninstall WAN Miniport (IKEv2), WAN Miniport (SSTP), etc. → Scan for hardware changes
  5. Nếu vẫn không được: Gỡ bản cập nhật và chờ bản vá từ Microsoft

Always On VPN (AOVPN): Triển khai và khắc phục sự cố

Always On VPN là giải pháp thay thế DirectAccess được Microsoft khuyến nghị cho các tổ chức sử dụng Windows Server 2016 trở lên. Về cơ bản, AOVPN tự động kết nối VPN khi thiết bị có Internet, đảm bảo người dùng luôn có kết nối bảo mật đến mạng doanh nghiệp mà không cần thao tác thủ công.

Nghe thì tuyệt vời, nhưng triển khai và xử lý sự cố AOVPN thì... không đơn giản chút nào.

Kiến trúc AOVPN

Một triển khai AOVPN tiêu chuẩn bao gồm các thành phần sau:

  • VPN Server: Windows Server chạy RRAS (Routing and Remote Access Service)
  • NPS (Network Policy Server): Xử lý xác thực RADIUS
  • Certificate Authority (CA): Cấp chứng chỉ cho server và client
  • Active Directory: Quản lý tài khoản và group policy
  • Microsoft Intune hoặc SCCM: Triển khai VPN profile đến client

Device Tunnel vs. User Tunnel

AOVPN hỗ trợ hai loại tunnel, và hiểu rõ sự khác biệt rất quan trọng:

  • Device Tunnel: Kết nối trước khi người dùng đăng nhập. Dùng cho quản lý thiết bị từ xa (SCCM, GPO) và pre-login scenarios. Lưu ý: chỉ hỗ trợ thiết bị domain-joined, Windows Enterprise/Education.
  • User Tunnel: Kết nối sau khi người dùng đăng nhập. Hỗ trợ cả domain-joined, Azure AD-joined, và workgroup devices. Phù hợp cho hầu hết các trường hợp sử dụng.

Sự cố AOVPN thường gặp và cách xử lý

1. AOVPN ngắt kết nối ngẫu nhiên khi triển khai qua Intune

Đây là sự cố mình gặp khá nhiều khi các tổ chức chuyển từ SCCM sang Intune để quản lý VPN profile. Nguyên nhân thường do VPN profile bị triển khai lại (redeployed) nhiều lần, hoặc xung đột giữa profile cũ và mới.

Cách xử lý:

  1. Kiểm tra Event Viewer → Applications and Services Logs → Microsoft → Windows → VPN-Client
  2. Xác nhận chỉ có một VPN profile active: 
    Get-VpnConnection -AllUserConnection
Get-VpnConnection
  3. Xóa profile trùng lặp: 
    Remove-VpnConnection -Name "ProfileName" -Force
  4. Trong Intune, đảm bảo chỉ có một VPN configuration profile được assign cho device/user group

2. AOVPN không kết nối khi khởi động máy

Device tunnel không kết nối khi máy tính khởi động, mặc dù đã cấu hình đúng. Lỗi này khá khó chịu vì mọi thứ trông có vẻ ổn trên giấy.

Cách xử lý:

  1. Xác nhận service RasMan đang chạy và được đặt là Automatic: 
    Get-Service RasMan | Select-Object Name, Status, StartType
  2. Kiểm tra device tunnel profile: 
    Get-VpnConnection -AllUserConnection | Format-List *
  3. Đảm bảo AlwaysOn được set là TrueDeviceTunnelTrue
  4. Kiểm tra chứng chỉ máy (machine certificate) trong Cert:\LocalMachine\My

3. Trusted Network Detection không hoạt động

VPN vẫn kết nối ngay cả khi thiết bị đang ở mạng nội bộ công ty. Không gây hại gì nghiêm trọng, nhưng lãng phí tài nguyên và có thể làm chậm mạng.

Cách xử lý:

  1. Kiểm tra cấu hình TrustedNetworkDetection trong VPN profile XML: 
    <TrustedNetworkDetection>corp.company.com</TrustedNetworkDetection>
  2. Đảm bảo DNS suffix của mạng nội bộ khớp chính xác với giá trị cấu hình (kể cả chữ hoa/thường)
  3. Test bằng cách kiểm tra DNS suffix hiện tại: Get-DnsClient | Select-Object ConnectionSpecificSuffix

ProfileXML mẫu cho AOVPN với IKEv2

Dưới đây là ví dụ ProfileXML cho User Tunnel sử dụng IKEv2 với SSTP fallback — bạn có thể dùng làm template rồi chỉnh sửa cho phù hợp:

<VPNProfile>
  <RememberCredentials>true</RememberCredentials>
  <AlwaysOn>true</AlwaysOn>
  <TrustedNetworkDetection>corp.company.com</TrustedNetworkDetection>
  <NativeProfile>
    <Servers>vpn.company.com</Servers>
    <NativeProtocolType>IKEv2</NativeProtocolType>
    <Authentication>
      <UserMethod>Eap</UserMethod>
      <Eap>
        <Configuration>
          <!-- EAP-TLS configuration here -->
        </Configuration>
      </Eap>
    </Authentication>
    <RoutingPolicyType>SplitTunnel</RoutingPolicyType>
  </NativeProfile>
  <Route>
    <Address>10.0.0.0</Address>
    <PrefixSize>8</PrefixSize>
  </Route>
  <Route>
    <Address>172.16.0.0</Address>
    <PrefixSize>12</PrefixSize>
  </Route>
</VPNProfile>

Lỗ hổng bảo mật RRAS 2025–2026: Những gì Helpdesk cần biết

Đây là phần mà nhiều đội ngũ Helpdesk hay bỏ qua, nhưng thực sự cực kỳ quan trọng. Trong suốt năm 2025 và đầu 2026, Microsoft đã liên tục phát hành bản vá cho hàng loạt lỗ hổng nghiêm trọng trong Routing and Remote Access Service (RRAS) — chính là thành phần cốt lõi chạy VPN trên Windows Server.

Nếu VPN server của bạn chưa được patch, đây là lúc nên lo lắng (một cách nghiêm túc).

Tại sao RRAS là mục tiêu hấp dẫn?

RRAS được thiết kế để nhận kết nối từ các endpoint không tin cậy (VPN client), nghĩa là bề mặt tấn công của nó mặc định đã được expose ra Internet. Thêm vào đó, RRAS thường chạy với quyền SYSTEM — một lỗ hổng thành công có thể dẫn đến chiếm toàn bộ server.

Các CVE nghiêm trọng gần đây

CVE Thời gian Loại Mức độ Mô tả
CVE-2026-20868 01/2026 RCE Nghiêm trọng Lỗ hổng thực thi mã từ xa qua RRAS
CVE-2026-20843 01/2026 EoP Nghiêm trọng Leo thang đặc quyền trong RRAS
CVE-2025-62549 12/2025 RCE CVSS 8.8 Thực thi mã qua VPN server giả mạo
CVE-2025-54113 09/2025 RCE Nghiêm trọng Heap-based buffer overflow trong RRAS
CVE-2025-50160 08/2025 RCE Nghiêm trọng Heap buffer overflow, chiếm quyền server
CVE-2025-58717 10/2025 Info Disclosure Trung bình Rò rỉ thông tin nhạy cảm từ bộ nhớ RRAS

Tác động thực tế

Với các lỗ hổng RCE (Remote Code Execution), kẻ tấn công có thể:

  • Gửi gói tin đặc biệt đến VPN server → thực thi mã độc với quyền SYSTEM
  • Chiếm toàn bộ VPN gateway → truy cập mạng nội bộ
  • Di chuyển ngang (lateral movement) đến Domain Controller
  • Đánh cắp credentials của tất cả người dùng VPN

Đặc biệt đáng lo ngại là CVE-2025-62549, cho phép kẻ tấn công dựng VPN server giả mạo và lừa người dùng kết nối đến — khi kết nối thành công, mã độc sẽ được thực thi trên máy client. Kịch bản này hoàn toàn có thể xảy ra ở các mạng công cộng.

Hành động cần thiết cho Helpdesk

  1. Kiểm tra trạng thái vá lỗi: 
    # Kiểm tra bản vá đã cài trên VPN server
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object HotFixID, Description, InstalledOn -First 10

# Kiểm tra phiên bản OS
[System.Environment]::OSVersion.Version
  2. Báo cáo lên team Security/Infrastructure: Nếu VPN server chưa được vá, escalate ngay — đừng chờ đợi
  3. Giám sát Event Log trên VPN server: 
    # Kiểm tra sự kiện bất thường từ RemoteAccess
Get-WinEvent -FilterHashtable @{LogName="System"; ProviderName="RemoteAccess"} -MaxEvents 20 | Format-Table TimeCreated, Id, Message -Wrap
  4. Đảm bảo RRAS chỉ chạy trên server cần thiết: Disable RRAS trên các server không dùng làm VPN gateway

Chẩn đoán VPN nâng cao với Event Viewer và PowerShell

Khi các bước khắc phục cơ bản không giải quyết được vấn đề, đã đến lúc dùng đến "vũ khí hạng nặng". Dưới đây là hướng dẫn chi tiết về các công cụ chẩn đoán nâng cao.

Event Viewer — Các log quan trọng

Trên máy client, kiểm tra các log sau:

  • Applications and Services Logs → Microsoft → Windows → RasClient: Chứa sự kiện kết nối VPN, bao gồm Error 20227 (xác thực thất bại)
  • Applications and Services Logs → Microsoft → Windows → VPN-Client: Chi tiết về VPN profile và kết nối
  • System Log: Tìm sự kiện từ nguồn RasMan, Netlogon

Trên VPN server:

  • System Log → IKEEXT: Sự kiện IKEv2 authentication và tunnel establishment
  • System Log → RemoteAccess: Trạng thái kết nối và lỗi RRAS
  • Security Log: Sự kiện logon/logoff liên quan đến VPN

PowerShell diagnostic scripts

Đây là script chẩn đoán nhanh mà Helpdesk có thể chạy ngay trên máy client khi nhận ticket VPN. Mình khuyên bạn nên lưu sẵn script này vào một file .ps1 để dùng khi cần:

# === VPN Diagnostic Script cho Helpdesk ===
# Chạy trên máy client bị lỗi VPN

Write-Host "=== THONG TIN HE THONG ===" -ForegroundColor Cyan
Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, OsBuildNumber

Write-Host "`n=== CAC KET NOI VPN ===" -ForegroundColor Cyan
Get-VpnConnection | Format-List Name, ServerAddress, TunnelType, ConnectionStatus, AuthenticationMethod
Get-VpnConnection -AllUserConnection 2>$null | Format-List Name, ServerAddress, TunnelType, ConnectionStatus

Write-Host "`n=== TRANG THAI MANG ===" -ForegroundColor Cyan
Get-NetAdapter | Where-Object {$_.Status -eq "Up"} | Format-Table Name, InterfaceDescription, Status, LinkSpeed

Write-Host "`n=== DNS CONFIGURATION ===" -ForegroundColor Cyan
Get-DnsClientServerAddress | Where-Object {$_.ServerAddresses} | Format-Table InterfaceAlias, ServerAddresses

Write-Host "`n=== ROUTE TABLE ===" -ForegroundColor Cyan
Get-NetRoute | Where-Object {$_.DestinationPrefix -notmatch "^ff|^fe80"} | Sort-Object InterfaceMetric | Format-Table DestinationPrefix, NextHop, InterfaceAlias, InterfaceMetric -First 20

Write-Host "`n=== BAN CAP NHAT GAN DAY ===" -ForegroundColor Cyan
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object HotFixID, Description, InstalledOn -First 5

Write-Host "`n=== EVENT LOG VPN (10 su kien gan nhat) ===" -ForegroundColor Cyan
Get-WinEvent -FilterHashtable @{LogName="Application"; ProviderName="RasClient"} -MaxEvents 10 2>$null | Format-Table TimeCreated, Id, Message -Wrap

Netsh trace cho VPN

Khi cần thu thập dữ liệu chi tiết hơn để escalate lên team Network (những trường hợp bạn đã thử mọi cách mà vẫn không ra nguyên nhân):

# Bắt đầu trace
netsh trace start scenario=VPN capture=yes tracefile=C:\Temp\vpn_trace.etl

# Thử kết nối VPN (reproduce lỗi)

# Dừng trace
netsh trace stop

# File trace sẽ được lưu tại C:\Temp\vpn_trace.etl
# Gửi file này cho team Network/Infrastructure để phân tích

Quy trình xử lý ticket VPN chuẩn cho Helpdesk

Để không bị "đuổi theo đuôi" khi xử lý ticket VPN, mỗi đội ngũ Helpdesk nên có một quy trình chuẩn. Dưới đây là flowchart mà mình thấy hoạt động hiệu quả nhất.

Bước 1: Thu thập thông tin ban đầu (2–3 phút)

Đừng vội nhảy vào sửa. Hỏi trước đã:

  • Người dùng đang kết nối từ đâu? (nhà, quán cafe, khách sạn, nước ngoài)
  • VPN client nào? (Windows built-in, Cisco AnyConnect, GlobalProtect, etc.)
  • Lần cuối VPN hoạt động bình thường là khi nào?
  • Có thay đổi gì gần đây? (Windows Update, thay đổi mật khẩu, laptop mới)
  • Thông báo lỗi chính xác hoặc mã lỗi?

Bước 2: Kiểm tra cơ bản (5 phút)

  1. Internet có hoạt động không? → Thử mở trình duyệt
  2. Đúng thông tin đăng nhập? → Reset password nếu cần
  3. Tài khoản có bị khóa? → Kiểm tra AD
  4. VPN client có phiên bản mới nhất? → Cập nhật nếu cần

Bước 3: Khắc phục theo mã lỗi (5–10 phút)

Tra cứu mã lỗi trong bảng ở phần trên và áp dụng các bước tương ứng. Phần lớn ticket sẽ được giải quyết ở bước này.

Bước 4: Kiểm tra nâng cao (10–15 phút)

  1. Chạy VPN diagnostic script
  2. Kiểm tra Event Viewer
  3. Thử chuyển giao thức VPN (IKEv2 → SSTP)
  4. Reset network stack
  5. Thử kết nối từ mạng khác (mobile hotspot) — bước này giúp loại trừ vấn đề từ phía mạng

Bước 5: Escalation (nếu cần)

Nếu sau 20–30 phút vẫn không giải quyết được, đừng cố thêm — hãy escalate:

  • Thu thập netsh trace và Event Log
  • Ghi chú chi tiết các bước đã thực hiện (và kết quả từng bước)
  • Escalate lên team Network/Infrastructure với đầy đủ thông tin

Template ghi chú ticket VPN

Dùng template này để ghi chú khi xử lý ticket — đảm bảo không bỏ sót thông tin khi escalate:

TICKET VPN - [MÃ LỖI]
========================
Người dùng: [Tên]
Thiết bị: [Tên PC / Model]
VPN Client: [Loại / Phiên bản]
Kết nối từ: [Vị trí / Loại mạng]
Mã lỗi: [Error code]
Windows Build: [Số build]
Bản cập nhật gần nhất: [KB number]

CÁC BƯỚC ĐÃ THỰC HIỆN:
1. [Bước 1] → [Kết quả]
2. [Bước 2] → [Kết quả]
3. [Bước 3] → [Kết quả]

KẾT QUẢ: [Đã giải quyết / Cần escalate]
GHI CHÚ: [Thông tin bổ sung]

Các mẹo phòng ngừa sự cố VPN

Phòng bệnh hơn chữa bệnh — câu này đúng với cả VPN. Dưới đây là những biện pháp giúp giảm thiểu đáng kể số lượng ticket VPN hàng tháng.

1. Triển khai SSTP fallback

Cấu hình VPN client với tunnel type là Automatic hoặc sử dụng IKEv2 với SSTP fallback. Điều này đảm bảo khi IKEv2 bị chặn (ví dụ ở mạng khách sạn), client sẽ tự động chuyển sang SSTP qua port 443. Một thay đổi nhỏ nhưng giảm được rất nhiều ticket.

2. Giám sát chứng chỉ VPN

Thiết lập cảnh báo khi chứng chỉ VPN server sắp hết hạn — ít nhất 30 ngày trước khi expire. Bạn sẽ ngạc nhiên khi biết bao nhiêu sự cố VPN hàng loạt xảy ra chỉ vì chứng chỉ hết hạn mà không ai để ý.

# Script kiểm tra chứng chỉ VPN sắp hết hạn (chạy trên VPN server)
$certs = Get-ChildItem Cert:\LocalMachine\My | Where-Object {
    $_.EnhancedKeyUsageList.FriendlyName -contains "Server Authentication" -and
    $_.NotAfter -lt (Get-Date).AddDays(30)
}
if ($certs) {
    $certs | ForEach-Object {
        Write-Warning "CANH BAO: Chung chi '$($_.Subject)' het han vao $($_.NotAfter)"
    }
}

3. Test VPN sau mỗi Patch Tuesday

Sau mỗi đợt Patch Tuesday (thứ Ba tuần thứ hai mỗi tháng), hãy test VPN trên một nhóm nhỏ máy tính trước khi deploy rộng. Dùng Windows Update for Business hoặc WSUS để tạo pilot ring. Mất thêm vài giờ test nhưng tránh được hàng trăm ticket sau đó.

4. Tài liệu hóa cấu hình VPN

Duy trì tài liệu cập nhật về:

  • Địa chỉ IP và hostname của tất cả VPN server
  • Giao thức và port đang sử dụng
  • Ngày hết hạn chứng chỉ
  • NPS policy và AD group cho VPN access
  • Phiên bản VPN client được hỗ trợ

Nghe thì hiển nhiên, nhưng bạn sẽ không tin được bao nhiêu tổ chức không có tài liệu này đâu.

5. Đào tạo người dùng cuối

Tạo tài liệu hướng dẫn ngắn gọn cho người dùng:

  • Cách kết nối VPN từng bước (có ảnh chụp màn hình)
  • Các bước tự khắc phục cơ bản trước khi gọi Helpdesk
  • Số điện thoại và email Helpdesk khi cần hỗ trợ

Tổng kết và checklist nhanh

VPN là công nghệ không thể thiếu nhưng cũng đầy thách thức cho đội ngũ IT Helpdesk. Từ những mã lỗi "kinh điển" như Error 691 và 809, đến các sự cố sau Windows Update, và đặc biệt là hàng loạt lỗ hổng bảo mật RRAS nghiêm trọng trong 2025–2026 — tất cả đều đòi hỏi sự chuẩn bị kỹ lưỡng.

Dưới đây là checklist nhanh để bạn lưu lại (hoặc in ra dán bàn làm việc):

STT Hành động Tần suất
1 Kiểm tra và cập nhật bản vá RRAS trên VPN server Hàng tháng (Patch Tuesday)
2 Kiểm tra hạn chứng chỉ VPN server Hàng tuần
3 Test VPN sau Windows Update trên pilot group Hàng tháng
4 Cập nhật VPN client lên phiên bản mới nhất Hàng quý
5 Rà soát NPS policy và AD group Hàng quý
6 Kiểm tra Event Log trên VPN server cho dấu hiệu bất thường Hàng ngày
7 Cập nhật tài liệu cấu hình VPN Khi có thay đổi
8 Đào tạo nhân viên mới về quy trình xử lý ticket VPN Khi có nhân viên mới

Hãy nhớ: một kỹ thuật viên Helpdesk giỏi không chỉ biết sửa lỗi, mà còn biết phòng ngừa và xây dựng quy trình. VPN troubleshooting là kỹ năng cốt lõi — và với cẩm nang này, bạn đã có đủ công cụ để xử lý bất kỳ ticket VPN nào đến tay.

Chúc bạn ít ticket và nhiều cà phê!

Về Tác Giả Editorial Team

Our team of expert writers and editors.

Bài Viết Liên Quan