Windows Server 2022: “Metered connection” bloqueando LAN? Corrija com perfil de rede, firewall e DNS/NLA

Após promover um novo controlador de domínio (Windows Server 2022), a interface Ethernet passou a ser marcada como “conexão limitada” e o tráfego na LAN desapareceu. Este guia mostra a causa real e a correção definitiva — perfil de rede, firewall e DNS/NLA — com passos práticos e comandos.

Visão geral do problema

É comum, após instalar ou promover um controlador de domínio (DC), ver o Windows rotular a interface Ethernet como metered connection (“conexão limitada”). Mesmo desativando a opção nas Configurações e tentando forçar pelo Registro, alguns administradores notam que o servidor continua “mudo” na rede local: sem respostas a ping, sem acesso SMB/RDP e sem comunicação com outros hosts.

O ponto-chave: a configuração de conexão medida, por si só, não bloqueia tráfego LAN. Ela apenas controla consumo de dados (Windows Update, tarefas em segundo plano, sincronizações). Quando há bloqueio total, a causa costuma ser a combinação de perfil de rede incorreto (como “Público” em vez de “Domínio”) e regras de firewall inadequadas, muitas vezes agravada por DNS/NLA mal configurados em um DC recém-promovido.

Resumo prático

• Garanta que a conexão não esteja marcada como “metered” por UI, Registro ou Política.
• Verifique e corrija o perfil de rede; em DC, o ideal é DomainAuthenticated.
• Ajuste o Firewall do Windows (ponto crítico) e habilite regras para AD DS/DNS/SMB/RDP.
• Confirme DNS (a NIC do DC deve apontar para o próprio DC) e NLA.
• Se necessário, reinicialize a pilha de rede e atualize o driver da NIC.

Entendendo “metered connection” no Windows Server

O rótulo “conexão limitada” existe para reduzir o consumo de dados em links tarifados por tráfego. Ele desacelera downloads automáticos e aplicativos em segundo plano, mas não deveria impedir ping, SMB, LDAP, Kerberos, RDP ou qualquer tráfego na LAN. Se a rede local “morreu”, investigue perfil de rede (Domain/Private/Public), Firewall e DNS/NLA. Em DCs recém-criados, é comum o NLA não reconhecer o domínio por causa de DNS incorreto, mantendo o perfil como “Público” e ativando as restrições do firewall.

Perfis de rede e impacto no firewall

Perfil	Nome técnico	Impacto típico	Cenário recomendado
Domínio	DomainAuthenticated	Regras de firewall para serviços de domínio habilitadas; comunicação AD/DNS/SMB/RDP liberada conforme políticas.	Obrigatório para controladores de domínio.
Privado	Private	Mais permissivo que Público, porém não ativa automaticamente todas as exceções de DC.	Uso temporário para testes em servidores membro (não DC) ou para isolar problema.
Público	Public	Mais restritivo; bloqueia a maioria dos serviços de servidor. Em DC, praticamente “desliga” a LAN.	Jamais use em controladores de domínio.

Passo a passo para corrigir

1. Confirmar que NÃO é conexão limitada (UI) Abra Definições/Configurações → Rede e Internet → Ethernet → [sua conexão] e garanta que Conexão limitada esteja Desativado.
2. Forçar pelo Registro (quando necessário) Altere a chave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost Conceda Full Control ao grupo Administrators nesta chave (ela costuma ser protegida). Ajuste o valor DWORD:
   • Ethernet = 1 (1 = não medida; 2 = medida).
   Opcionalmente, aplique via linha de comando elevada: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost" /v Ethernet /t REG_DWORD /d 1 /f Reinicie o serviço NLA ou o servidor: powershell Restart-Service NlaSvc -Force
3. Impedir que políticas reativem “metered” Abra gpedit.msc → Configuração do Computador → Modelos Administrativos → Rede → Gerenciador de Conexões do Windows (ou Network Connectivity Status Indicator, conforme edição) e defina:
   • Definir como conexão limitada: Desabilitado.
   Opcional em Rede → Conexões de Rede:
   • Definir custo para uma conexão de rede: Sem restrições.
   Atualize políticas: gpupdate /force
4. Checar perfil de rede e firewall (ponto crítico) Em DC saudável, o perfil deve ser DomainAuthenticated. Verifique com PowerShell: powershell Get-NetConnectionProfile Se aparecer Public, ajuste temporariamente para privado (apenas para teste): powershell Descubra o nome correto do adaptador Get-NetAdapter Ajuste temporariamente o perfil Set-NetConnectionProfile -InterfaceAlias "Ethernet" -NetworkCategory Private Observação: não é possível “forçar” DomainAuthenticated via comando; o NLA define isso automaticamente quando DNS/AD estão corretos. Teste rápido (temporário!) para isolar firewall: powershell Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled False Teste conectividade LAN... Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled True Se a rede voltar quando o firewall está desativado, reative-o e habilite as regras certas no perfil de Domínio (veja a tabela de portas abaixo). Exemplos: powershell Enable-NetFirewallRule -DisplayGroup "DNS Server" Enable-NetFirewallRule -DisplayGroup "File and Printer Sharing" Enable-NetFirewallRule -DisplayGroup "Remote Desktop" Verifique também os perfis: powershell Get-NetFirewallProfile | Format-Table Name,Enabled,DefaultInboundAction,DefaultOutboundAction
5. Garantir DNS e NLA corretos (frequentíssimo em DC novo)
   • Configure IP da NIC como estático, com gateway válido.
   • Em DNS da NIC, aponte para o próprio DC (ou outro DNS do domínio). Não use DNS de roteador/ISP na NIC do DC.
   • Serviços em Automático/Em execução: DNS Client, Network Location Awareness (NlaSvc), Network List Service.
   Após corrigir DNS, o NLA deve mudar o perfil para DomainAuthenticated em alguns instantes (ou após reinício).
6. Diagnóstico de rede cmd ipconfig /all cmd ping <gateway> ping <outrohostLAN> powershell Test-NetConnection <IP|FQDN> -Port 53 # DNS Test-NetConnection <IP|FQDN> -Port 88 # Kerberos Test-NetConnection <IP|FQDN> -Port 135 # RPC Endpoint Mapper Test-NetConnection <IP|FQDN> -Port 389 # LDAP Test-NetConnection <IP|FQDN> -Port 445 # SMB Test-NetConnection <IP|FQDN> -Port 3389 # RDP
7. Reinicializar a pilha de rede (se persistir) cmd netsh winsock reset netsh int ip reset ipconfig /flushdns ipconfig /registerdns Reinicie o servidor.
8. Logs e driver
   • Event Viewer: verifique System e Applications and Services Logs → Microsoft → Windows → NlaSvc.
   • Atualize o driver da NIC. Se estiver virtualizado, confirme o tipo de adaptador recomendado pelo hypervisor.

Portas e serviços essenciais para um DC

Serviço	Porta/Protocolo	Direção típica	Observações / Regras de Firewall
DNS	53/TCP, 53/UDP	Entrada e saída	Grupo “DNS Server”. Essencial para resolução e NLA.
Kerberos	88/TCP, 88/UDP	Entrada	Autenticação AD.
LDAP	389/TCP, 389/UDP	Entrada	Consultas de diretório. LDAPS usa 636/TCP.
Global Catalog	3268/TCP, 3269/TCP	Entrada	Pesquisas de diretório no catálogo global.
RPC Endpoint Mapper	135/TCP	Entrada	Mapeamento de endpoints RPC.
RPC dinâmico	49152–65535/TCP	Entrada	Faixa dinâmica usada por vários serviços AD.
SMB	445/TCP	Entrada	“File and Printer Sharing”. Necessário para SYSVOL/NETLOGON.
NTP	123/UDP	Entrada e saída	Sincronização de hora (importante para Kerberos).
RDP	3389/TCP	Entrada	Admin remota. Habilite apenas conforme política.

Checklist de auditoria rápida

Item	Como verificar	O que esperar
Conexão medida	Configurações > Ethernet	Desativado
DefaultMediaCost	Registro	Ethernet=1
Políticas locais	gpedit.msc	“Definir como conexão limitada”: Desabilitado
Perfil de rede	Get-NetConnectionProfile	DomainAuthenticated em DC
DNS da NIC	ipconfig /all	Apontando para o DC
Firewall	Get-NetFirewallProfile	Ativo, com regras AD/DNS/SMB/RDP habilitadas
Logs NLA	Event Viewer	Sem erros críticos recorrentes

Por que isso acontece em novos DCs

O serviço Network Location Awareness (NLA) determina o perfil de rede com base em sinais como autenticação ao domínio e resolução DNS. Se a NIC do DC aponta para DNS incorreto (ex.: DNS do roteador) ou se a zona DNS do domínio não está resolvendo no próprio servidor, o NLA não reconhece a máquina como pertencente ao domínio e mantém o perfil Público. O firewall, por sua vez, aplica regras mais restritivas, bloqueando praticamente todo o tráfego de servidor. Desativar “metered” não resolve porque o bloqueio não vem dessa configuração.

Comandos úteis para inspeção

powershell
Adaptadores e perfis
Get-NetAdapter
Get-NetConnectionProfile

Endereçamento e DNS da NIC

Get-NetIPConfiguration
Get-DnsClientServerAddress

Regras de firewall habilitadas (perfil de Domínio)

Get-NetFirewallRule | Where-Object {\$.Enabled -eq 'True' -and \$.Profile -like 'Domain'} |
Select-Object DisplayGroup,DisplayName,Profile | Sort-Object DisplayGroup,DisplayName

Resolução DNS do domínio (substitua pelo seu domínio)

Resolve-DnsName \ldap.\tcp.dc.\_msdcs.seudominio.local

Últimos eventos do NLA

Get-WinEvent -LogName "Microsoft-Windows-NlaSvc/Operational" -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Auto

Testes de porta

Test-NetConnection \ -Port 389   # LDAP
Test-NetConnection \ -Port 445   # SMB

Perguntas frequentes

“Conexão limitada” bloqueia minha LAN?
Não. Ela afeta consumo de dados (Windows Update e apps), não o plano de controle da rede. Bloqueio total quase sempre é perfil Público + firewall + DNS/NLA errados.

Posso deixar o firewall desativado no DC?
Não. Desative apenas temporariamente para teste. Em produção, mantenha o firewall ativo e com regras adequadas ao perfil de Domínio.

Por que mudar para “Privado” e não “Domínio” diretamente?
“Domínio” é definido pelo NLA quando o host autentica no domínio. Se isso não ocorre, algo está errado (geralmente DNS). Ajuste DNS, e o perfil voltará a DomainAuthenticated.

Preciso mesmo apontar o DNS da NIC para o próprio DC?
Sim. Controladores de domínio dependem de DNS do Active Directory. Apontar para DNS externo/ISP impede o NLA e quebra serviços AD.

Boas práticas pós-correção

• Mantenha a NIC com IP estático (evite múltiplas NICs ativas em DCs se não houver necessidade de roteamento).
• Evite habilitar “conexão limitada” em servidores, salvo se houver motivo operacional claro.
• Documente GPOs que tocam em custo de conexão e em regras de firewall.
• Garanta a sincronização de hora (NTP) e monitore o Kerberos.
• Revise periodicamente as regras do firewall no perfil de Domínio e audite as portas essenciais.

Conclusão

Se, no Windows Server 2022, a Ethernet foi rotulada como “conexão limitada” e a LAN “sumiu”, trate “metered” como um sintoma paralelo. A causa real do bloqueio costuma ser um perfil de rede incorreto (Público) que aciona o firewall mais restritivo, geralmente por falhas de DNS/NLA em um DC recém-promovido. Siga o passo a passo: confirme que “metered” está desativado e não imposto por política, ajuste o perfil de rede, valide e corrija o firewall, aponte o DNS da NIC para o próprio DC, execute os testes de conectividade e, se necessário, reinicialize a pilha de rede. Assim, a comunicação LAN volta ao normal de forma segura e alinhada às melhores práticas de Active Directory.

Nota importante: a configuração “metered connection” não bloqueia a LAN. Bloqueio total em DC novo costuma indicar perfil Público e/ou políticas/firewall/DNS/NLA desajustados. Por isso, priorize os passos de perfil de rede, firewall e DNS/NLA.