La rete interna del tuo Domain Controller Windows Server 2022 è improvvisamente limitata perché l’interfaccia Ethernet viene classificata come “connessione a consumo” (metered)? In questa guida trovi cause probabili, diagnosi rapide e una procedura concreta per rimuovere lo stato a consumo e ripristinare il traffico LAN senza restrizioni.

Panoramica del problema

Dopo il provisioning di un nuovo Domain Controller con un’unica interfaccia LAN, Windows può marcare la scheda come metered. In pratica il sistema considera la rete “a consumo” e, per ridurre l’utilizzo di banda, applica limiti a servizi e traffico in background. Nel contesto di un DC questo può tradursi in malfunzionamenti evidenti: latenza o blocco di repliche Active Directory, registrazioni DNS che non si aggiornano, servizi dipendenti da BITS o WinHTTP che non trasferiscono dati, criteri di gruppo che impiegano molto tempo ad applicarsi o rimangono in attesa.

La difficoltà più frustrante è che GUI e registro possono suggerire che la modalità a consumo sia disattivata, ma la scheda continua a essere trattata come metered. A volte l’opzione nell’app Impostazioni sembra non persistere oppure non viene rispettata dopo il riavvio, e il traffico locale resta filtrato.

Perché una Ethernet può risultare “a consumo”

La classificazione del costo di rete in Windows è gestita da più componenti:

• WCM – Windows Connection Manager e NCSI – Network Connectivity Status Indicator determinano lo stato di connettività e il profilo costi.
• DefaultMediaCost nel registro definisce il comportamento predefinito per i diversi tipi di interfaccia (Ethernet, Wi‑Fi, 3G, 4G …).
• GPO può imporre che una connessione sia trattata come metered, ignorando la preferenza dell’utente/locale.
• Driver e firmware non aggiornati o non firmati possono far riportare all’OS una categoria di rete anomala, facendo scattare euristiche conservative.

Il risultato è che, pur vedendo “Connessione a consumo: Disattivato” nella GUI, sottotraccia il sistema può continuare ad applicare restrizioni tipiche delle reti a consumo, specialmente se una policy di dominio o un valore di registro contraddice l’impostazione grafica.

Sintomi tipici in un Domain Controller

• Eventi in Directory Service e DNS Server che segnalano ritardi all’avvio o impossibilità di contattare partner di replica.
• Ritardi nella pubblicazione delle SRV nel DNS o failure intermittenti di dinamiche secure updates.
• Profili firewall che oscillano tra Public e Domain, con regole più restrittive attive.
• Servizi che restano in stato Starting o Retry quando devono usare traffico di sistema in background.

Percorso rapido di risoluzione

1. GUI: Impostazioni → Rete e Internet → Ethernet → disattiva Connessione a consumo.
2. Registro: forza Ethernet=1 in HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost dopo aver concesso Full Control al gruppo Administrators.
3. GPO: imposta la policy Set as metered connection su Disabled e aggiorna i criteri (gpupdate /force).
4. Firewall/Diagnostica: verifica profilo attivo e regole; esegui il Network Adapter troubleshooter.
5. Servizi: assicurati che componenti chiave (DNS Client, Netlogon, Network List Service, NLA, LanmanServer) siano in esecuzione.
6. CLI: conferma IP/DNS e raggiungibilità con ipconfig, ping, tracert, test sulle porte AD/DNS/SMB.
7. Reset: se necessario, ripristina lo stack con netsh winsock reset e netsh int ip reset, poi riavvia.

Riepilogo delle azioni

Ambito	Azione	Dettagli principali
Impostazioni di rete	Verificare lo stato	Impostazioni → Rete e Internet → Ethernet → disattivare Connessione a consumo.
Registro di sistema	Forzare valore non‑metered	Percorso HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost → dare Full Control agli Administrators → impostare la DWORD Ethernet a 1 (1 = non a consumo, 2 = a consumo).
Criteri di gruppo	Bloccare la modalità a consumo	Gpedit.msc → Computer Configuration → Administrative Templates → Network → Network Connectivity Status Indicator → policy Set as metered connection su Disabled.
Firewall e diagnostica	Escludere blocchi aggiuntivi	✔ Verificare regole firewall. ✔ Eseguire l’utilità Network Adapter troubleshooter.
Servizi di rete	Assicurare la funzionalità	Controllare in services.msc che servizi fondamentali (es. DNS Client) siano in esecuzione.
Verifiche CLI	Confermare configurazione	ipconfig /all, ping, tracert per validare IP, DNS e raggiungibilità.
Ripristino stack rete	Azzerare impostazioni corrotte	netsh winsock reset e netsh int ip reset, poi riavviare il server.

Procedura guidata dettagliata

Controlli preliminari in GUI

1. Apri Impostazioni → Rete e Internet → Ethernet e imposta Connessione a consumo su Disattivato.
2. Verifica che il Profilo di rete sia Dominio. Se lo vedi su Pubblico/Privato, qualcosa non va con NLA o con la visibilità del dominio.
3. Riavvia e ricontrolla. Se l’impostazione non persiste, passa al controllo del registro e delle GPO.

Forzare la disattivazione via registro

Prima di modificare il registro, pianifica un backup o un punto di ripristino. Esegui l’Editor del Registro come amministratore.

1. Vai a HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost.
2. Fai clic destro su DefaultMediaCost → Autorizzazioni → Avanzate → cambia Proprietario in Administrators e concedi Controllo completo al gruppo Administrators.
3. Individua la DWORD Ethernet e imposta Valore a 1 (non a consumo). Se la voce non esiste, creala (tipo: REG_DWORD).

In alternativa, puoi usare PowerShell elevato:

# Esegui in una console PowerShell come Amministratore
$path = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost"
New-Item -Path $path -Force | Out-Null
New-ItemProperty -Path $path -Name "Ethernet" -PropertyType DWord -Value 1 -Force | Out-Null

Nota: se ricevi errore di accesso negato, assicurati di avere temporaneamente il Full Control sul ramo indicato (vedi passaggi GUI sopra) prima di eseguire i comandi.

Impostare la policy che blocca la modalità a consumo

Su server membri o DC senza hardening pre-esistente, può bastare il registro. Se invece una GPO impone la modalità metered, sovrascriverà la tua modifica. Agisci così:

1. Apri Gpedit.msc.
2. Vai a Computer Configuration → Administrative Templates → Network → Network Connectivity Status Indicator.
3. Apri Set as metered connection e imposta su Disabled. Se non vedi la voce in NCSI, verifica anche in Network → Network Connections sulle build in cui la policy è collocata lì.
4. Esegui gpupdate /force e riavvia.

Per identificare rapidamente da quale GPO proviene un’impostazione conflittuale, genera un report:

gpresult /H C:\Temp\gp-report.html

Verifiche su profilo di rete e firewall

Controlla che il profilo Domain sia effettivamente attivo e che le regole associate siano abilitate.

PowerShell
Get-NetConnectionProfile | Format-Table Name, InterfaceAlias, NetworkCategory
Get-NetFirewallProfile | Format-Table Name, Enabled, DefaultInboundAction, DefaultOutboundAction

Se vedi Public o Private su un DC, la causa del blocco potrebbe essere la mancata autenticazione al dominio all’avvio (NLA/Netlogon). In attesa di risolvere, puoi forzare temporaneamente Private per test locali:

Set-NetConnectionProfile -InterfaceAlias "Ethernet" -NetworkCategory Private

Appena la connettività di dominio torna stabile, il profilo DomainAuthenticated verrà ripristinato automaticamente.

Diagnostica firewall e network adapter

• Apri Windows Defender Firewall with Advanced Security e verifica che il profilo Domain sia selezionato.
• Controlla che le regole per File and Printer Sharing (SMB‑In), Remote Event Log, WMI, RPC e DNS siano abilitate per il profilo di dominio.
• Esegui il Network Adapter troubleshooter dal Pannello di Controllo per riparare binding e reset di stack.

Servizi di rete da verificare

Assicurati che i seguenti servizi siano in Running e con avvio appropriato:

• DNS Client (Dnscache), DNS Server se il DC ospita DNS
• Netlogon
• Network List Service (netprofm) e Network Location Awareness (NlaSvc)
• Workstation (LanmanWorkstation) e Server (LanmanServer)
• Remote Procedure Call (RPC)

PowerShell
Get-Service Dnscache,Netlogon,netprofm,nlasvc,lanmanserver,lanmanworkstation | 
  Select-Object Name, Status, StartType | Format-Table -Auto

Verifiche CLI essenziali

Conferma IP, gateway e DNS, quindi prova la raggiungibilità verso partner e record AD.

ipconfig /all
ping <gateway>
ping <FQDNDCPARTNER>
nslookup ldap.tcp.dc._msdcs.<DOMINIO>
Test-NetConnection -ComputerName <FQDNDCPARTNER> -Port 135   # RPC Endpoint Mapper
Test-NetConnection -ComputerName <FQDNDCPARTNER> -Port 389   # LDAP
Test-NetConnection -ComputerName <FQDNDCPARTNER> -Port 445   # SMB

Per lo stato di AD e repliche:

dcdiag /v
repadmin /replsummary
repadmin /showrepl

Ripristino dello stack di rete

Se sospetti corruzione del catalogo Winsock o binding incoerenti, esegui un reset controllato e riavvia:

netsh winsock reset
netsh int ip reset
ipconfig /flushdns
shutdown /r /t 0

Come misura estrema (evita su host con configurazioni complesse), il comando seguente ripristina le componenti di rete e rimuove le interfacce virtuali:

netcfg -d

Approfondimenti e suggerimenti utili

• Event Viewer: ispeziona Logs → System e Logs → NetworkProfile per vedere quando e perché cambia la classificazione della rete. Eventi di Netlogon o NlaSvc aiutano a capire se il profilo Domain non si è attivato all’avvio.
• NIC e driver: firmware obsoleti, driver non firmati o impostazioni avanzate “strane” possono confondere WCM. Aggiorna all’ultima versione e ripristina le proprietà avanzate a valori di default.
• Script di avvio: se il problema ricompare a ogni boot, usa uno script PowerShell che forza il valore del registro DefaultMediaCost\Ethernet a 1 durante l’avvio del servizio Server o, più genericamente, al riavvio del sistema.
• Conflitti con criteri di dominio: verifica che nessuna GPO a livello di dominio reimposti la connessione a consumo o modifichi il profilo da Domain a Public. Un gpresult dettagliato è la via più rapida.

Esempio di script per mantenere Ethernet non a consumo

Lo script seguente imposta Ethernet=1 in DefaultMediaCost e registra un log in C:\Logs\FixMetered.log. Eseguilo come SYSTEM tramite un’attività pianificata “All’avvio” con privilegi più elevati.

PowerShell
$ErrorActionPreference = "Stop"
$log = "C:\Logs\FixMetered.log"
New-Item -ItemType Directory -Path (Split-Path $log) -ErrorAction SilentlyContinue | Out-Null
"$(Get-Date -Format o) - Start FixMetered" | Out-File -FilePath $log -Append

\$path = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost"
if (-not (Test-Path \$path)) { New-Item -Path \$path -Force | Out-Null }

try {
New-ItemProperty -Path \$path -Name "Ethernet" -PropertyType DWord -Value 1 -Force | Out-Null
"\$(Get-Date -Format o) - Set Ethernet=1 OK" | Out-File -FilePath \$log -Append
} catch {
"\$(Get-Date -Format o) - ERROR: \$($\_.Exception.Message)" | Out-File -FilePath \$log -Append
throw
}
"\$(Get-Date -Format o) - End FixMetered" | Out-File -FilePath \$log -Append 

Trigger consigliato: Attività Pianificata → Nuova → Trigger: all’avvio; Account: SYSTEM; Esegui con i privilegi più elevati: abilitato. In alternativa, puoi usare un trigger su evento quando il servizio Server entra nello stato Running (ID 7036, origine Service Control Manager), così da forzare l’impostazione nel momento in cui i servizi SMB si inizializzano.

Controlli aggiuntivi dei profili di rete

Anche se il costo della rete è ora “non a consumo”, è importante verificare che il profilo sia riconosciuto come Domain e che non ci siano profili di rete “orfani”.

PowerShell
Elenco profili e categoria
Get-NetConnectionProfile | Select-Object Name, InterfaceAlias, NetworkCategory

Elenco adattatori e stato link

Get-NetAdapter | Select-Object Name, Status, LinkSpeed, MacAddress

DNS configurati per ogni interfaccia

Get-DnsClientServerAddress -AddressFamily IPv4 |
Select-Object InterfaceAlias, ServerAddresses 

Se la categoria non è DomainAuthenticated e non dipende da problemi fisici o IP, controlla Netlogon e i record SRV del dominio in _msdcs. Un DC che non risolve gli SRV del dominio non potrà mai spostarsi sul profilo di dominio.

Checklist post‑intervento

• Connessione a consumo risulta disattivata nella GUI e coerente nel registro (Ethernet=1).
• Profilo di rete del DC è DomainAuthenticated.
• Firewall profilo dominio attivo, regole server essenziali abilitate.
• Event Viewer privo di nuovi errori di replica o DNS all’avvio.
• repadmin /replsummary senza errori, dcdiag pulito.

Domande frequenti

Perché l’interruttore “Connessione a consumo” nella GUI non resta coerente con il comportamento reale?
Perché altre fonti di configurazione (GPO o registro) hanno priorità o vengono lette prima/altrove. La GUI scrive una preferenza, ma NCSI/WCM può applicare il valore “effettivo” in base a policy o a DefaultMediaCost.

È normale che una scheda Ethernet venga vista come metered?
No, in genere il comportamento riguarda WWAN/Wi‑Fi. Su Ethernet di solito dipende da un override nel registro o da una policy.

Serve riavviare dopo aver modificato DefaultMediaCost?
È consigliato. Alcune componenti rileggono il valore solo all’avvio o al riavvio dei servizi di rete, e un reboot garantisce la piena applicazione.

Posso cambiare solo il profilo di rete e ignorare il costo?
Cambiare il profilo aiuta per il firewall, ma se il sistema continua a considerare la rete come a consumo potresti avere ancora limiti di background. Conviene allineare entrambi.

Quali servizi sono più sensibili allo stato metered?
BITS, alcune operazioni WinHTTP/Delivery Optimization e attività pianificate che “rispettano” la condizione di rete. In un DC, gli effetti si vedono indirettamente su replica, DNS dinamico e applicazione GPO, specie all’avvio.

Se il problema persiste

• Verifica che non ci siano adattatori virtuali di terze parti in stato “Unidentified network” che inducono confusione in NLA.
• Controlla eventuali software di sicurezza con funzionalità di network cost awareness che forzano la modalità a consumo.
• Confronta i criteri di dominio con i criteri locali: un gpresult ti dirà se una GPO sta sovrascrivendo le impostazioni ad ogni refresh.

Conclusioni

La chiave per eliminare definitivamente lo stato “a consumo” su Windows Server 2022 è allineare tre piani: interruttori in GUI, registro (DefaultMediaCost) e criteri di gruppo. Dopo aver escluso blocchi firewall, verificato i servizi e, se necessario, ripristinato lo stack di rete, il Domain Controller torna a scambiare traffico LAN senza restrizioni. Se la condizione si ripresenta, un semplice script di avvio che imposta Ethernet=1 funge da rete di sicurezza, in attesa di individuare la GPO o il driver che reimposta la modalità metered.

---

Appendice pratica

Comandi utili a portata di mano

# Verifica profilo di rete
Get-NetConnectionProfile

Verifica firewall

Get-NetFirewallProfile

Stato servizi principali

Get-Service Dnscache,Netlogon,netprofm,nlasvc,lanmanserver,lanmanworkstation

Test porte essenziali

Test-NetConnection -ComputerName \ -Port 135
Test-NetConnection -ComputerName \ -Port 389
Test-NetConnection -ComputerName \ -Port 445

Diagnostica AD

dcdiag /v
repadmin /replsummary

Reset rete (con riavvio)

netsh winsock reset
netsh int ip reset
shutdown /r /t 0 

Valori di riferimento

Chiave	Valore	Significato
DefaultMediaCost\Ethernet	1	Rete non a consumo
DefaultMediaCost\Ethernet	2	Rete a consumo

Note operative

• Se è stato necessario prendere la proprietà della chiave DefaultMediaCost per modificarla, ripristina le ACL dopo la correzione per rispettare i principi di least privilege.
• Su build diverse, la policy Set as metered connection può trovarsi sotto Network → Network Connections. L’obiettivo resta lo stesso: Disabled.
• Nei log di sistema, gli eventi che riguardano NLA/NCSI e Netlogon sono preziosi per capire perché il profilo Domain non entra in funzione subito all’avvio.

---

In sintesi: rimuovere lo stato “a consumo” richiede di sincronizzare impostazioni GUI, registro, criteri di gruppo e di escludere blocchi dovuti a firewall o servizi disabilitati. Una volta applicate e verificate tutte le modifiche, il traffico LAN sul domain controller dovrebbe tornare operativo senza limiti di dati.

Se questa guida ti è stata utile, considera di salvarla come playbook operativo per le prossime installazioni di DC: prevenire fin dall’immagine di base l’attivazione della modalità metered fa risparmiare molto tempo di troubleshooting.