MENU
  1. Accueil
  2. Windows
  3. Windows Server
  4. Windows Server 2022 : « connexion limitée / metered » bloque le LAN ? Réparer NLA/DNS et le profil Public

Windows Server 2022 : « connexion limitée / metered » bloque le LAN ? Réparer NLA/DNS et le profil Public

Windows Server

Sur un Windows Server 2022 fraîchement promu en contrôleur de domaine, une « connexion limitée / metered » ne devrait pas couper le LAN. Si tout le trafic local semble bloqué, pensez d’abord au profil de pare‑feu Public ou à une détection de domaine (NLA/DNS) défaillante. Voici le plan d’action.

Sommaire

Ce que « metered » fait… et ne fait pas

Le mode metered sur Windows limite surtout certains trafics en arrière‑plan (téléchargements volumineux, tâches non critiques). Il ne coupe pas à lui seul la communication locale. Quand tout le LAN est injoignable, la cause la plus fréquente est :

  • Profil Public appliqué au lieu de DomainAuthenticated (NLA n’arrive pas à authentifier le domaine).
  • Routage/DNS mauvais (serveur pointe sur un DNS externe/routeur au lieu du DNS du DC), ce qui empêche la détection du domaine et applique par défaut le profil Public.
  • Paramétrage de pare‑feu Public trop restrictif (voire « bloquer toutes les connexions »).

Diagnostic express (60 secondes)

# 1) Profil réseau actif
Get-NetConnectionProfile | fl Name, InterfaceAlias, NetworkCategory, IPv4Connectivity, IPv6Connectivity

# 2) Profils de pare-feu (par défaut)

Get-NetFirewallProfile | select Name, Enabled, DefaultInboundAction, DefaultOutboundAction, AllowInboundRules

# 3) DNS configurés sur la NIC

Get-DnsClientServerAddress -InterfaceAlias "Ethernet"

# 4) Services clés

Get-Service NlaSvc, Dnscache, Netlogon

# 5) Événements récents réseau/AD/DNS

wevtutil qe System /c:20 /rd\:true /f\:text | findstr /i "NLA DNS Netlogon"

Remise en route immédiate (sécurisée et réversible)

Si le serveur est coincé en Public, repassez temporairement en Private le temps de corriger l’AD/DNS, et desserrez provisoirement le pare‑feu Public uniquement si nécessaire.

# Passer en Private pour respirer
Set-NetConnectionProfile -InterfaceAlias "Ethernet" -NetworkCategory Private

# Désactiver momentanément le pare-feu Public (à réactiver ensuite)

Set-NetFirewallProfile -Profile Public -Enabled False

# Vérifier qu’on n’a pas "tout bloquer" sur Public

Set-NetFirewallProfile -Profile Public -DefaultInboundAction Block -DefaultOutboundAction Allow -AllowInboundRules True

Important : remettez Enabled True et les règles appropriées après correction du DNS/NLA pour revenir à un niveau de sécurité normal.

Corriger la détection de domaine (NLA) et le DNS

Sur un DC, la détection de domaine doit placer le profil en DomainAuthenticated. Si ce n’est pas le cas :

  1. Adresse IP statique et DNS du DC : la carte réseau doit pointer vers le DNS Active Directory (souvent le serveur lui‑même sur le premier DC). Évitez les DNS de routeur/FAI.
# Exemple (adapter IP/masque/gateway)
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.10.10 -PrefixLength 24 -DefaultGateway 192.168.10.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 192.168.10.10  # DC s’auto-résout, 1er DC
  1. Laisser IPv6 activé sur un DC. Certaines détections NLA/AD s’en servent. Ne le désactivez pas « pour tester ».
  2. Services requis Running : Network Location Awareness (NlaSvc), DNS Client (Dnscache), Netlogon.
Set-Service NlaSvc -StartupType Automatic
Set-Service Dnscache -StartupType Automatic
Set-Service Netlogon -StartupType Automatic
Restart-Service NlaSvc
Restart-Service Netlogon
  1. Forcer l’application GPO et rafraîchir NLA après correction :
gpupdate /force
Restart-Service NlaSvc
  1. Vérifier que le profil passe bien en DomainAuthenticated :
Get-NetConnectionProfile

Désactiver réellement « metered » si imposé

Si vous voyez « connexion limitée/metered » et que le basculement On/Off ne persiste pas :

Via GPO

Parcours : Computer Configuration → Administrative Templates → Network → Network Connections → Set Ethernet connection as metered = Disabled. Vérifiez qu’aucune autre GPO ne l’impose à Enabled.

Via Registre

Valeur par défaut pour Ethernet non limitée :

# Prendre l’autorisation si nécessaire puis forcer Ethernet = 1 (non limité)
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost" /v Ethernet /t REG_DWORD /d 1 /f

gpupdate /force
Restart-Service NlaSvc

Vérifications de base (réseau/AD/DNS)

ipconfig /all
nltest /dsgetdc:VotreDomaine.local
dcdiag /test:DNS
dcdiag /test:Advertising
ipconfig /registerdns
net stop netlogon & net start netlogon

Tests de ports essentiels depuis un poste du LAN

# À lancer depuis un client vers le DC
Test-NetConnection 192.168.10.10 -Port 53    # DNS
Test-NetConnection 192.168.10.10 -Port 88    # Kerberos
Test-NetConnection 192.168.10.10 -Port 389   # LDAP
Test-NetConnection 192.168.10.10 -Port 445   # SMB
Test-NetConnection 192.168.10.10 -Port 135   # RPC Endpoint Mapper

Règles de pare‑feu typiques à avoir ouvertes (profil Domaine)

  • Service DNS (TCP/UDP 53).
  • Kerberos (TCP/UDP 88).
  • LDAP / LDAPS (389/636, 3268/3269 pour le GC).
  • SMB (TCP 445).
  • RPC : TCP 135 et ports dynamiques TCP 49152‑65535.
  • NTP (UDP 123) si le DC est source de temps.
  • DFSR (TCP 5722) entre DCs.
  • AD Web Services (TCP 9389) si utilisé.

Tableau de dépannage rapide

SymptômeCause probableAction correctrice
Profil réseau = PublicNLA ne détecte pas le domaine (DNS incorrect)Pointer le DNS de la NIC vers le DC, redémarrer NLA, vérifier SRV AD
Tout est bloqué même en outboundProfil Public configuré sur « tout bloquer »Vérifier DefaultOutboundAction = Allow, AllowInboundRules = True
Basculer « metered » ne tient pasGPO impose connexion limitéeGPO : Set Ethernet connection as metered = Disabled
DC résout mal les nomsNIC utilise DNS du routeur/FAINIC → DNS = IP du DC (ou autre DC)
Profil bascule aléatoirementNLA/DNS non stable, IPv6 désactivéLaisser IPv6 activé, réparer DNS et Netlogon

Script d’audit « tout‑en‑un » (à exécuter en PowerShell élevé)

Ce script ne modifie rien ; il dresse un état des lieux et surligne les points d’attention.

$IfAlias = "Ethernet"

"=== PROFIL RÉSEAU ==="
Get-NetConnectionProfile | fl Name, InterfaceAlias, NetworkCategory, IPv4Connectivity, IPv6Connectivity

"=== PARE-FEU (récap) ==="
Get-NetFirewallProfile | select Name, Enabled, DefaultInboundAction, DefaultOutboundAction, AllowInboundRules | ft -AutoSize

"=== DNS SUR NIC ==="
Get-DnsClientServerAddress -InterfaceAlias \$IfAlias

"=== SERVICES CLÉS ==="
Get-Service NlaSvc, Dnscache, Netlogon | ft -AutoSize

"=== AD/DNS RAPIDE ==="
try { nltest /dsgetdc:\$( (Get-ADDomain).DNSRoot ) } catch { "AD Module absent ou non DC" }
dcdiag /test\:DNS | out-host

"=== ÉVÉNEMENTS RÉCENTS ==="
wevtutil qe System /c:50 /rd\:true /f\:text | findstr /i "NLA DNS Netlogon DHCP IPv6"

Stabiliser durablement la configuration

Forcer le profil Domaine lorsque le DC est joignable

Le profil DomainAuthenticated s’applique automatiquement si le serveur rejoint le domaine et peut contacter un DC via DNS/Kerberos. Évitez de forcer Private en permanence : c’est un pansement qui masque le vrai problème (NLA/DNS).

Empêcher le retour de la connexion « metered »

  • GPO : Set Ethernet connection as metered = Disabled.
  • Registre : DefaultMediaCost\Ethernet = 1.
  • Appliquer : gpupdate /force puis Restart-Service NlaSvc.

Options avancées (au besoin)

  • Network List Manager Policies : définir le Location type pour les réseaux non identifiés en « Private » temporairement si la détection de domaine est en maintenance.
  • Nettoyage cache NLA (en dernier recours, avec prudence) : suppression des anciens profils sous HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles puis redémarrage NLA.

Tests de bout en bout

Après correction, validez de bout en bout depuis un poste membre du domaine :

  1. Résolution DNS du nom du DC et des enregistrements SRV (_ldap._tcp.dc._msdcs.<domaine>).
  2. Authentification Kerberos (ouverture de session, klist côté client).
  3. Accès partage SYSVOL/NETLOGON (\\<DC>\SYSVOL / \\<DC>\NETLOGON).
  4. GPO qui s’appliquent sans erreurs.

Réinitialisations réseau (ultime recours)

Si des modifications locales contradictoires ont été faites (outils tiers, scripts), réinitialisez prudemment :

netsh winsock reset
netsh int ip reset
# Optionnel (efface toutes les règles locales) :
netsh advfirewall reset

Recréez ensuite précisément les règles nécessaires au rôle du serveur.

Cas particuliers et pièges fréquents

  • Premier DC de la forêt : s’auto‑pointer en DNS est normal. Assurez‑vous que le service DNS démarre avant Netlogon (par défaut OK) et que l’enregistrement SRV s’inscrit correctement (ipconfig /registerdns).
  • Multi‑homing (plusieurs NIC) : non recommandé pour un DC. Évitez les sous‑réseaux multiples ou les cartes virtuelles inutiles qui perturbent NLA.
  • Outils de sécurité (EDR, IPS) : vérifiez qu’aucune politique « isolation » ne force un blocage sur profil Public.
  • Hyper‑V : ne confondez pas la NIC de gestion avec des vSwitch isolés (NAT/Private) qui apparaissent comme « réseaux non identifiés ».
  • DNS mixte : ne mélangez pas DNS AD et DNS FAI dans la même NIC. Pour la sortie Internet, configurez le transfert DNS au niveau du rôle DNS du DC, pas sur la carte.

Checklist finale

  • Le profil réseau affiche DomainAuthenticated.
  • Le DNS de la NIC pointe vers un DNS AD (idéalement le DC local).
  • IPv6 actif, NlaSvc/Dnscache/Netlogon en Running.
  • Le pare‑feu n’est pas en « tout bloquer » sur Public, et le profil Domaine a les règles nécessaires.
  • Option metered désactivée via GPO/registre pour l’Ethernet.
  • Tests port à port (Test-NetConnection) OK depuis un client.
  • Journaux System/DNS Server/Directory‑Service sans erreurs bloquantes.

Exemple : séquence gagnante (pas à pas)

  1. Sur le DC : Get-NetConnectionProfile → si Public, passer temporairement en Private.
  2. Configurer NIC en IP fixe et DNS = IP du DC (ou autre DC). Laisser IPv6 activé.
  3. Redémarrer NlaSvc, Netlogon, puis gpupdate /force. Vérifier que le profil passe en DomainAuthenticated.
  4. Réactiver le pare‑feu Public si vous l’aviez coupé. Sur le profil Domaine, autoriser DNS/Kerberos/LDAP/SMB/RPC.
  5. Désactiver « metered » via GPO/registre pour éviter le retour du symptôme cosmétique.
  6. Valider depuis un poste du LAN : résolution DNS, Kerberos, accès SYSVOL/NETLOGON, Test-NetConnection sur ports clés.

FAQ rapide

Q : Le mode metered peut‑il bloquer tout le LAN ?
R : Non. Si tout est coupé, pensez profil Public trop strict et/ou NLA/DNS défaillant.

Q : Puis‑je désactiver IPv6 pour « simplifier » ?
R : Évitez. Des pans d’AD/NLA s’appuient sur IPv6. Le désactiver crée souvent des instabilités.

Q : Mettre le profil en Private en permanence est‑il acceptable ?
R : Non, c’est un contournement. Le bon état sur un membre du domaine (ou un DC) est DomainAuthenticated.

À retenir

La mention « connexion limitée/metered » sur Windows Server 2022 est un symptôme, pas la cause d’une panne LAN. Dans l’immense majorité des cas, un profil Public mal adapté et une détection de domaine NLA cassée par un mauvais DNS en sont responsables. Corrigez l’adressage/DNS, relancez NLA, vérifiez que le profil redevient DomainAuthenticated, puis verrouillez via GPO que l’Ethernet n’est pas en connexion limitée. La connectivité LAN revient immédiatement et durablement.

Windows Server
Réseau DNS Pare-feu NLA Windows Server 2022
Sommaire