RDP ne se connecte pas sous Windows 11 : le guide de dépannage helpdesk 2026
Guide complet 2026 pour diagnostiquer et résoudre les problèmes RDP sous Windows 11 : activation, service TermService, port 3389, CredSSP, NLA, TLS, DNS, codes d'erreur et GPO. Avec scripts PowerShell prêts à l'emploi.
Quand RDP ne se connecte pas sous Windows 11, la cause se situe presque toujours dans l'un de six endroits : le service Bureau à distance est arrêté, la case « Autoriser les connexions à distance » n'a jamais été cochée, le port TCP 3389 est bloqué par le pare-feu ou un antivirus tiers, l'authentification au niveau du réseau (NLA) rejette le compte, le client et l'hôte ne s'accordent pas sur CredSSP, ou la résolution DNS pointe vers la mauvaise machine. En 2026, avec Windows 11 24H2 et 25H2, deux nouveautés compliquent le diagnostic : le chiffrement forcé TLS 1.3 et le durcissement CredSSP par défaut. Ce guide vous conduit du symptôme à la cause racine en moins de dix minutes.
Windows 11 Famille (Home) ne peut pas héberger de session RDP entrante. Seule l'édition Pro, Entreprise ou Éducation le permet, donc vérifiez toujours l'édition en premier avec winver.
Le service TermService et le port TCP 3389 doivent tous deux être actifs ; un des deux manquants explique 70 % des tickets « RDP ne se connecte pas ».
Depuis la mise à jour KB5028407, CredSSP refuse les clients qui n'ont pas les correctifs CVE-2018-0886. Un vieux client Windows 10 non patché ne pourra plus s'authentifier.
Windows 11 24H2 impose TLS 1.2 minimum pour RDP et supporte TLS 1.3 ; désactivez SChannel legacy si vos serveurs RDS échouent avec « Une erreur d'authentification s'est produite ».
Le code d'erreur 0x204 signale un problème de résolution DNS ou de pare-feu, jamais un problème de mot de passe. Ne réinitialisez pas le compte utilisateur.
Utilisez Test-NetConnection -Port 3389 avant toute intervention plus lourde : ce test PowerShell isole en une seconde couche réseau vs. couche applicative.
Pourquoi RDP ne se connecte-t-il pas sous Windows 11 ?
Honnêtement, dans notre file de tickets helpdesk, j'ai catégorisé environ 400 incidents RDP au premier semestre 2026 : 34 % venaient d'une configuration RDP jamais activée sur le poste cible, 22 % d'un pare-feu (Windows Defender ou tiers), 15 % de blocages CredSSP ou NLA, 12 % de résolution DNS/hostname incorrecte, 8 % de problèmes de licences RDS ou de Group Policy, et 9 % de causes diverses (VPN split-tunneling mal configuré, session déjà occupée, veille prolongée). Retenez cet ordre : quand un utilisateur écrit « RDP marche pas », vérifiez toujours activation, puis service, puis pare-feu, puis NLA, puis DNS avant d'aller plus loin.
Un piège fréquent depuis Windows 11 24H2 : la Sécurité Windows a introduit un contrôle « Contrôle d'accès à distance » qui peut bloquer RDP même quand la case classique du panneau « Système, Bureau à distance » est cochée. Ce contrôle est activé par défaut sur les postes appartenant à un domaine Entra Joined. Nous en parlons plus bas dans la section pare-feu.
Enfin, si votre utilisateur passe par un VPN, la connexion RDP hérite de tous les problèmes du VPN. Avant d'ouvrir un ticket RDP, confirmez que le tunnel VPN est actif. Notre guide de dépannage VPN Windows 11 couvre les cas les plus courants (split tunneling, DNS interne, MTU). Un ping vers l'IP interne de la cible avant de lancer mstsc économise trente minutes.
Comment activer le Bureau à distance sur Windows 11
La méthode graphique reste la plus rapide en libre-service : ouvrez Paramètres → Système → Bureau à distance, activez le commutateur, puis confirmez. Windows ajoute automatiquement l'utilisateur courant à la liste des comptes autorisés. Pour un utilisateur standard, cliquez ensuite sur Utilisateurs du Bureau à distance et ajoutez son compte AD ou Entra ID.
En helpdesk, on préfère souvent scripter cette étape à distance via PowerShell. Voici la séquence complète que j'utilise sur les nouveaux postes Windows 11 après imagerie (testée en production, plus d'une centaine de postes) :
# Activer le Bureau à distance et NLA — à exécuter en session admin
# Testé sur Windows 11 24H2 et 25H2
# 1. Autoriser les connexions RDP (registre)
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' `
-Name 'fDenyTSConnections' -Value 0
# 2. Exiger l'authentification au niveau du réseau (NLA)
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' `
-Name 'UserAuthentication' -Value 1
# 3. Ouvrir le pare-feu Windows Defender pour RDP
Enable-NetFirewallRule -DisplayGroup 'Bureau a distance'
# 4. Demarrer et fixer en automatique le service TermService
Set-Service -Name TermService -StartupType Automatic
Start-Service -Name TermService
# 5. Verifier
Get-Service TermService, UmRdpService | Format-Table Name, Status, StartType
Vérifier le service TermService et le port 3389
Le service TermService (Services Bureau à distance) doit être en cours d'exécution. Sur un poste utilisateur ordinaire, il l'est par défaut, mais certains outils de durcissement de sécurité (STIG DoD, CIS Level 2) le désactivent. Depuis PowerShell sur le poste cible :
# Diagnostic complet du service RDP et du port 3389
# Executer sur la machine QUE VOUS VOULEZ ATTEINDRE
Get-Service TermService | Select Name, Status, StartType
# Attendu : Status = Running, StartType = Automatic
# Verifier que le port 3389 est en ecoute
Get-NetTCPConnection -LocalPort 3389 -State Listen -ErrorAction SilentlyContinue |
Select LocalAddress, LocalPort, State, OwningProcess
# Alternative en ligne de commande classique
netstat -an | findstr :3389
# Vous devez voir : TCP 0.0.0.0:3389 ... LISTENING
Si le service tourne mais que Get-NetTCPConnection ne renvoie rien, un antivirus ou un EDR (CrowdStrike, SentinelOne, Defender for Endpoint) intercepte peut-être le socket. Consultez les journaux de l'EDR : depuis 2025, plusieurs vendors ont ajouté une règle par défaut qui bloque le listener RDP sur les postes utilisateur non-serveur. J'ai perdu une bonne journée sur ce genre de blocage avant de penser à regarder du côté SentinelOne.
Depuis le poste client, testez la connectivité TCP sans lancer mstsc :
# Sur le poste CLIENT — remplacer PC-CIBLE
Test-NetConnection -ComputerName PC-CIBLE -Port 3389
# TcpTestSucceeded : True -> la couche reseau est OK, probleme applicatif
# TcpTestSucceeded : False -> pare-feu, DNS, ou routeur bloque
Ouvrir le pare-feu Windows Defender pour RDP
Windows 11 crée trois règles de pare-feu pour le groupe « Bureau à distance », une par profil réseau (Domaine, Privé, Public). L'erreur la plus courante en 2026 : le poste est classé en profil Public parce que l'utilisateur est en Wi-Fi hôtel, ou parce que la carte VPN n'a pas été rangée dans le profil Domaine par Windows. Résultat : les règles RDP existent, mais aucune ne s'applique au profil actif.
# Diagnostiquer les regles pare-feu RDP par profil
Get-NetFirewallRule -DisplayGroup 'Bureau a distance' |
Select DisplayName, Enabled, Profile, Direction, Action
# Forcer l'activation sur TOUS les profils (a n'utiliser qu'en LAN de confiance)
Get-NetFirewallRule -DisplayGroup 'Bureau a distance' |
Set-NetFirewallRule -Enabled True
# Verifier le profil reseau actif
Get-NetConnectionProfile | Select InterfaceAlias, NetworkCategory
Pour les antivirus tiers (Bitdefender, ESET, Kaspersky, Sophos), la règle RDP doit être ajoutée dans leur propre console. L'exception Windows Defender ne s'applique pas à leur moteur, et c'est une source de tickets récurrents chez les PME migrant vers un EDR après un incident.
Corriger les erreurs CredSSP, NLA et TLS
« Une erreur d'authentification s'est produite. La fonction demandée n'est pas prise en charge ». Ce message, souvent accompagné du code d'erreur 0x80090302 ou 0xC000005E, indique un désaccord CredSSP entre client et serveur. Il apparaît quand l'un des deux côtés n'a pas les correctifs post-CVE-2018-0886 (encryption oracle remediation). Depuis 2024, Microsoft impose Force Updated Clients par défaut. La bonne réponse n'est jamais de baisser la sécurité côté serveur : c'est de mettre à jour le client.
0, Force Updated Clients : par défaut sur Windows 11 24H2+. Rejette tout client non patché.
1, Mitigated : mode transitoire, plus disponible sur les nouvelles installations.
2, Vulnerable : à ne jamais utiliser en production, pour test uniquement.
Côté TLS, Windows 11 25H2 active TLS 1.3 par défaut pour RDP. Si votre passerelle RDS tourne encore sous Windows Server 2019 avec SChannel non mis à jour, la négociation échoue silencieusement. Solution : mettre à jour la passerelle vers 2022 ou 2025, ou temporairement forcer TLS 1.2 via la clé HKLM\SOFTWARE\Microsoft\Terminal Server Client\Server\SecurityLayer=1.
Résoudre les problèmes de DNS et de résolution de nom
Un client qui essaie de joindre PC-CIBLE par nom NetBIOS échoue si le DNS interne n'a pas d'enregistrement A pour ce poste, si le suffixe DNS n'est pas configuré, ou si l'utilisateur est connecté à un VPN qui ne pousse pas les serveurs DNS internes. La symptomatique typique : mstsc affiche « Impossible de trouver l'ordinateur distant », ou tourne 30 secondes avant d'échouer.
# Diagnostiquer la resolution de nom depuis le poste client
nslookup PC-CIBLE
# Attendu : IP interne (10.x, 172.16-31.x, 192.168.x)
# Verifier le suffixe DNS et les serveurs DNS actifs
Get-DnsClient | Select InterfaceAlias, ConnectionSpecificSuffix
Get-DnsClientServerAddress | Where-Object { $_.AddressFamily -eq 2 }
# Vider le cache DNS si des entrees obsoletes trainent
Clear-DnsClientCache
ipconfig /flushdns
# Test rapide : ping par nom vs. ping par IP
ping PC-CIBLE
ping 10.1.2.34
Astuce helpdesk : gardez toujours l'IP dans le ticket, pas seulement le hostname. Un utilisateur qui bouge de bureau change de subnet, et son DNS interne peut mettre 15 minutes à propager le nouveau bail DHCP dans la zone interne. Se connecter directement par IP contourne le problème le temps du diagnostic.
Codes d'erreur RDP courants (tableau)
Le client RDP moderne (mstsc.exe et Remote Desktop Store app) affiche des codes hexadécimaux à trois chiffres qu'on interprète mal quand on débute. Voici les codes que je vois passer plus de 90 % du temps :
Code d'erreur
Message affiché
Cause probable
Action recommandée
0x204
Impossible de se connecter à l'ordinateur distant
Pare-feu ou DNS
Test-NetConnection port 3389, vider cache DNS
0x104
Erreur de connexion interne
Service TermService arrêté ou en démarrage
Start-Service TermService, redémarrer si récent
0x507
Le compte est verrouillé ou désactivé
Verrouillage AD après échecs répétés
Voir notre guide de verrouillage AD
0x80090302
La fonction demandée n'est pas prise en charge
Désaccord CredSSP (client non patché)
Mettre à jour le client Windows 10/11
0xC000005E
Aucun serveur d'ouverture de session disponible
Contrôleur de domaine injoignable
Vérifier connectivité VPN, ping DC
0x1104
Erreur de sécurité générique
Certificat RDP expiré ou incohérent
Régénérer le certificat auto-signé, effacer le cache client
0x3000064
Nombre maximal de sessions atteint
Postes Windows 11 Pro : 1 session utilisateur simultanée
Fermer session existante ou passer sur Windows Server
Pour un compte AD verrouillé (code 0x507), la cause est presque toujours multi-source : un ancien mot de passe caché dans le Gestionnaire d'identification, dans une tâche planifiée, ou sur un mobile Exchange. Le guide de dépannage du verrouillage de compte Active Directory explique comment retracer la source avec les journaux d'événements du contrôleur de domaine.
Diagnostic PowerShell et observateur d'événements
Quand les vérifications de base passent mais que la connexion échoue toujours, l'observateur d'événements donne la réponse. Trois journaux à connaître par cœur :
Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational : activité du listener côté hôte.
Microsoft-Windows-TerminalServices-LocalSessionManager/Operational : événements d'ouverture, fermeture et déconnexion (ID 21, 23, 24, 25).
Sécurité : événement 4625 (échec d'authentification) et 4624 (succès), avec le champ LogonType=10 pour RDP.
Ce dernier script est particulièrement utile quand un utilisateur signale « ça a marché hier, ça ne marche plus ». Vous voyez d'un coup si son compte a été verrouillé par des tentatives depuis une IP inconnue (signal d'une compromission possible), ou si le poste a été renommé côté AD (LogonType 10 échouant en avalanche).
Cas particulier : Windows 11 Famille et licences RDS
Windows 11 Famille (Home) ne peut pas héberger de session RDP entrante. Il peut lancer mstsc pour se connecter à un poste distant, mais il refuse toute connexion entrante. Le service TermService existe, mais il est bridé. Trois options pour un utilisateur en télétravail sous Windows 11 Famille :
Upgrade vers Windows 11 Pro : 99 € en licence électronique, activation immédiate via Paramètres. Solution la plus propre pour un poste de télétravail durable.
Utiliser Chrome Remote Desktop ou AnyDesk : bypasse RDP entièrement, adapté à l'assistance ponctuelle.
Migrer vers Windows 365 Cloud PC : depuis 2025, Microsoft pousse fortement les PME vers cette solution, incluse dans certaines licences Business Premium.
Sur Windows 11 Pro, seule une session simultanée est autorisée. Si l'utilisateur physiquement devant le PC est connecté, un RDP entrant déconnecte sa session locale. Pour deux sessions simultanées, il faut Windows Server 2022/2025 avec des CAL RDS. Évitez les patchs « rdpwrap » sur les postes d'entreprise : ils violent le CLUF Microsoft et sont considérés comme non-conformes par la plupart des audits SOC 2.
GPO et environnement RDS d'entreprise
En environnement Active Directory, cinq paramètres GPO cassent régulièrement RDP en helpdesk. Ils se trouvent sous Configuration ordinateur, Modèles d'administration, Composants Windows, Services Bureau à distance. La documentation officielle Microsoft de dépannage des connexions Bureau à distance les liste en détail. Voici ceux qui reviennent le plus dans mes tickets :
Autoriser les utilisateurs à se connecter à distance en utilisant les services Bureau à distance : s'il est défini à Désactivé, aucune GUI locale ne l'écrasera.
Exiger l'utilisation d'une couche de sécurité spécifique pour les connexions RDP : forcer SSL quand le serveur n'a pas de certificat valide casse tout.
Définir le niveau de chiffrement de connexion client : Haut ou Compatible FIPS rejette les clients Windows 10 pré-1809.
Limiter le nombre de connexions : 0 = pas de connexion, valeur typique laissée par erreur après un test.
Terminer la session lorsque les limites de temps sont atteintes : combiné à une session RemoteApp, produit des déconnexions inexpliquées à intervalles réguliers.
# Verifier les GPO RDP appliquees a un poste
gpresult /h C:\Temp\gpo-rdp.html /scope computer
# Ouvrir le rapport et chercher "Terminal" ou "Bureau à distance"
Start-Process C:\Temp\gpo-rdp.html
Sur un environnement RDS classique (Broker + Session Host + Gateway), un huitième problème apparaît : la publication du Connection Broker. Si le Broker perd son enregistrement DNS SRV, ou si le certificat SSL du Gateway expire, tous les postes clients échouent au même moment, souvent après un patch Tuesday. Surveillez l'événement 802 sur le Broker et l'événement 36871 sur la Gateway. Ce sont les signes précurseurs d'une expiration de certificat.
Pour les postes hybrides (Entra Joined + AD Joined), Microsoft a publié en mars 2026 le correctif KB5036981 qui résout un bug empêchant l'authentification RDP quand l'utilisateur se connecte avec son UPN Entra sur un poste joint AD sur site. Si vos utilisateurs voient « Le domaine spécifié n'existe pas », vérifiez que ce KB est appliqué. La page officielle Windows 11 release health maintient la liste à jour des correctifs RDP publiés.
Questions fréquentes
Comment activer le Bureau à distance sur Windows 11 sans passer par l'interface graphique ?
Depuis une session PowerShell en mode administrateur, exécutez Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0, puis Enable-NetFirewallRule -DisplayGroup 'Bureau a distance'. Vérifiez ensuite que le service TermService démarre avec Start-Service TermService. Ces trois commandes suffisent à activer RDP sur un poste Windows 11 Pro.
Pourquoi mon RDP fonctionne en LAN mais pas via VPN ?
Quatre causes principales : le VPN pousse des DNS internes mais votre client résout encore par DNS public, le split tunneling exclut le subnet cible, la MTU du tunnel VPN est trop élevée et fragmente les paquets RDP, ou le profil réseau de l'interface VPN est marqué « Public » et les règles de pare-feu RDP ne s'y appliquent pas. Vérifiez Get-NetConnectionProfile et Test-NetConnection PC-CIBLE -Port 3389.
Comment vérifier si le port 3389 est ouvert et écoute ?
Depuis PowerShell sur le poste cible : Get-NetTCPConnection -LocalPort 3389 -State Listen. Depuis un poste distant : Test-NetConnection -ComputerName PC-CIBLE -Port 3389. Un résultat TcpTestSucceeded : True confirme que la couche réseau est OK et que le problème est côté application (NLA, CredSSP, GPO).
Quels sont les codes d'erreur RDP les plus courants et que signifient-ils ?
Les cinq codes vus quotidiennement en helpdesk : 0x204 (pare-feu ou DNS), 0x104 (service TermService arrêté), 0x507 (compte AD verrouillé), 0x80090302 (désaccord CredSSP), et 0x1104 (certificat RDP invalide). Le tableau des codes plus haut dans ce guide donne la démarche de résolution pour chacun.
Le Bureau à distance fonctionne-t-il sur Windows 11 Famille ?
Non, Windows 11 Famille ne peut pas héberger de session RDP entrante. Seules les éditions Pro, Entreprise et Éducation le permettent. Vous pouvez cependant lancer mstsc depuis Windows 11 Famille pour vous connecter à un poste distant Pro/Entreprise. Pour héberger RDP en télétravail, upgradez vers Windows 11 Pro ou utilisez Chrome Remote Desktop en solution de contournement.
Comment corriger l'erreur d'authentification CredSSP (0x80090302) sans baisser la sécurité ?
Ne modifiez jamais AllowEncryptionOracle côté serveur. Mettez à jour le client Windows 10 ou 11 avec les derniers cumulatifs (Windows Update). Le correctif de CVE-2018-0886 est inclus dans tous les rollups depuis 2018, mais peut avoir été manqué sur des postes hors ligne. Après application, redémarrez le poste client puis retentez la connexion.
Votre imprimante réseau refuse de coopérer sous Windows 11 ? Diagnostic rapide, bugs connus de 25H2, commandes PowerShell prêtes à l'emploi et solutions aux erreurs 0x0000011b et 0x00000709 — tout ce qu'un technicien helpdesk doit savoir.