DTLknowsWhy — Guide utilisateur v2.1

2.1 — Mode GUI

DTLknowsWhy.exe [--target IP_OU_HÔTE] [--lang {fr,en}]

• Sélectionner une ou plusieurs situations décrivant le problème (ex. « Machine invisible dans le voisinage réseau », « Accès à un partage Windows distant impossible »)
• Saisir l'IP ou le nom d'hôte de la machine cible si une situation le requiert (signalée par une étoile)
• Sélectionner la langue de l'interface et des rapports
• Cliquer sur Lancer le diagnostic
• Suivre le journal de progression à gauche ; les résultats apparaissent dans le volet des résultats à droite à la fin
• Cliquer sur Ouvrir le rapport HTML pour afficher le rapport complet dans un navigateur

2.2 — Snapshot local (CLI)

python agent.py --snapshot [--lang {fr,en}]

• Système : nom d'hôte, utilisateur, droits admin, version et build Windows, LmCompatibilityLevel, état BitLocker
• Réseau : nom et catégorie du profil (Public/Private/Domain), IPv4, masque, passerelle, serveurs DNS, état DHCP, option et état NetBIOS
• Tests locaux : ping loopback (127.0.0.1), ping self (IP propre), ping passerelle
• Services : LanmanServer, LanmanWorkstation, FDResPub, fdPHost, lmhosts
• Diagnostic expert : les résultats du moteur de règles sont intégrés dans le JSON du snapshot

Trois fichiers nommés HÔTE_snapshot_HORODATAGE.json, HÔTE_report_HORODATAGE.txt et HÔTE_report_HORODATAGE.html. Les chemins sont affichés dans la console à la fin.

2.3 — Cible distante (CLI)

python agent.py --target {IP|nom_hôte} [--lang {fr,en}]

• Ping : accessibilité ICMP de base
• Résolution du nom d'hôte : recherche de nom depuis l'adresse IP
• Sondages TCP : ports 80 (HTTP), 139 (NetBIOS), 443 (HTTPS), 445 (SMB)
• Adresse MAC : depuis la table ARP locale
• Classification de la cible : attribution automatique de type
• Snapshot de l'agent distant : si DTLknowsWhy-Agent fonctionne sur la cible, son snapshot JSON complet est récupéré et une comparaison causale est effectuée automatiquement

Mêmes trois fichiers qu'un snapshot local. Si un snapshot de l'agent distant a été récupéré, il est également sauvegardé comme fichier JSON séparé et la comparaison causale est intégrée dans le rapport principal.

2.4 — Mode serveur

python agent.py --listen

GET http://172.17.7.10:5050/snapshot?key=DTLSECRET&lang=fr

Retourne HTTP 200 avec le corps JSON du snapshot complet. Écrit les fichiers JSON, TXT et HTML localement à chaque requête.

2.5 — Agent distant

DTLknowsWhy-Agent.exe --listen

DTLknowsWhy-Agent.exe install
DTLknowsWhy-Agent.exe start

DTLknowsWhy-Agent.exe stop
DTLknowsWhy-Agent.exe remove

3.1 — Snapshot JSON

HÔTE_snapshot_AAAAMMJJ_HHMMSS.json

• metadata — horodatage de génération, rôle (local/distant), nom d'hôte cible
• system — système d'exploitation, droits admin, LmCompatibilityLevel, état BitLocker
• network — configuration IP, profil, option NetBIOS et indicateur activé
• tests — résultats des pings locaux (booléens)
• services — états des services Windows
• diagnosis — résultats du moteur expert (intégrés)
• remote_tests — présent uniquement quand --target a été utilisé
• causal_comparison — présent uniquement quand --target a été utilisé
• remote_agent_snapshot — présent uniquement si l'agent distant a répondu

3.2 — Rapport texte

HÔTE_report_AAAAMMJJ_HHMMSS.txt

• Titre et horodatage de génération
• Machine locale : identité, système, réseau, services Windows, tests locaux
• Résultats de diagnostic expert (niveau, message, remédiation)
• Cible distante (si --target a été utilisé) : identification, tests de port, classification, interprétation
• Résultats de la comparaison causale (si un snapshot de l'agent distant a été récupéré)

Rapport technique DTLknowsWhy
==================================================
Rapport généré le : 07/06/2026 09:34:42

==================================================
MACHINE LOCALE
==================================================

Identité
--------------------------------------------------
Nom d'hôte          : PREDATOR
Utilisateur         : didier
Administrateur      : Oui

Système
--------------------------------------------------
Système d'exploitation : Windows 11 Pro 23H2
Build               : 22631

Réseau
--------------------------------------------------
Profil              : Private
Adresse IPv4        : 172.17.7.10
Masque              : 255.255.255.0
Passerelle          : 172.17.7.1
Serveurs DNS        : 172.17.7.1
DHCP                : Non
NetBIOS             : Oui (via DHCP)

3.3 — Rapport HTML

HÔTE_report_AAAAMMJJ_HHMMSS.html

• Barre d'en-tête : titre, horodatage, logo NetDTL
• Machine locale : identité, système, réseau, services Windows (repliable), tests locaux (repliable)
• Diagnostic expert (résultats avec badges de niveau et remédiation)
• Snapshot de l'agent distant (si récupéré) : données complètes de la seconde machine en disposition symétrique
• Comparaison causale (résultats avec cause et remédiation)

4.1 — Diagnostic expert

# Analyser le dernier snapshot automatiquement
python expert.py --lang fr

# Analyser un snapshot spécifique
python expert.py PC-BEN-002_snapshot_20260607_093442.json --lang fr

Si aucun fichier snapshot n'est spécifié, expert.py sélectionne automatiquement le fichier *_snapshot_*.json modifié le plus récemment dans le répertoire courant. Le workflow CLI typique en deux étapes est : exécuter python agent.py --snapshot, puis python expert.py sans arguments.

• Droits administrateur
• Accessibilité de la passerelle (connectivité locale)
• Profil réseau (Public bloque SMB et la découverte réseau)
• État des services LanmanServer et LanmanWorkstation
• État de FDResPub (SMB-001 : machine invisible dans le voisinage réseau)
• Valeur de LmCompatibilityLevel (0 = risque de sécurité ; 5 = peut bloquer SMB en Workgroup)
• État BitLocker (lecteurs actifs : avertissement avant toute modification de configuration système)
• Classification de la cible distante et accessibilité SMB (si remote_tests est dans le snapshot)
• Guidance erreur d'authentification pour les cibles probable_windows avec TCP 445 ouvert (erreur 86/1326)

4.2 — Analyse comparative

python compare.py REF_snap.json CIBLE_snap.json [--lang {fr,en}]

Le PC B ne peut pas accéder aux partages réseau que le PC A atteint sans difficulté. Collecter un snapshot sur chaque machine, copier les deux fichiers JSON dans le même répertoire et exécuter compare.py. La sortie indiquera si la cause est un profil réseau Public, un service SMB arrêté, un problème de connectivité de passerelle, une différence de produit de sécurité ou un écart de paramètre de configuration.

• Profil réseau et accessibilité de la passerelle
• État des services LanmanServer, LanmanWorkstation, FDResPub, fdPHost
• Option NetBIOS et serveurs DNS
• Topologie IP (passerelle et masque de sous-réseau)
• Accessibilité TCP 445
• Produits de sécurité (présence de Bitdefender et pile de filtres fltmc)
• Paramètres de configuration SMB client et serveur
• Partages SMB accessibles
• Contexte d'identité (compte local, domaine, AzureAD Joined)

5.1 — SMB-001 : Machine invisible dans le voisinage réseau

Sélectionner SMB-001 dans la GUI et lancer le diagnostic sur la machine invisible, ou exécuter python agent.py --snapshot --lang fr sur elle.

FDResPub (Publication des ressources de découverte) est arrêté. La visibilité dans le voisinage réseau est gérée par FDResPub et fdPHost, qui sont complètement indépendants du protocole SMB. SMB peut fonctionner parfaitement pendant que la machine est invisible dans l'Explorateur.

sc config fdrespub start= delayed-auto
net start fdrespub

L'erreur « La liste des serveurs de ce groupe de travail n'est pas disponible actuellement » (erreur 6118 de net view) est normale et attendue depuis Windows 10 1709. Le service de navigation réseau SMBv1 est désactivé par défaut. Ne pas tenter de réactiver SMBv1. Utiliser directement \\NOM_MACHINE ou \\IP dans l'Explorateur.

5.2 — SMB-002 : L'accès par IP fonctionne, l'accès par nom échoue

ping -4 NOM_MACHINE
nslookup NOM_MACHINE
nbtstat -A ADRESSE_IP

• NetBIOS désactivé sur l'une ou les deux machines
• Le DNS ne contient pas d'entrée pour la machine
• LLMNR désactivé par stratégie
• FDResPub arrêté (la machine ne publie pas sa présence)

Si le ping par nom fonctionne mais que l'accès SMB par nom est toujours lent : le délai est généralement causé par Windows qui énumère tous les partages quand on parcourt \\NOM plutôt que d'aller directement vers un partage spécifique. Mapper les partages directement au démarrage pour éviter le délai d'énumération :

net use Z: \\NOM_MACHINE\partage /persistent:yes

Vérifier également le Gestionnaire d'identification pour des jetons périmés susceptibles de provoquer des tentatives d'authentification échouées répétées avant que le bon compte soit essayé.

5.3 — SMB-003 : Authentification refusée (Erreur 86 ou 1326)

net use * /delete /y

Puis ouvrir Panneau de configuration → Gestionnaire d'identification → Informations d'identification Windows et supprimer toutes les entrées liées à la machine cible (y compris les entrées MicrosoftAccount:target=...). Après une réinstallation avec un compte Microsoft, Windows peut mémoriser un jeton MSA qui prend la priorité sur les identifiants locaux ou de domaine.

net use \\MACHINE\IPC$ /user:DOMAINE\prenom.nom

Utiliser le nom de domaine (ex. SC\anne.honnyme), pas le nom de la machine locale (MACHINE\anne). Après une réinstallation en Workgroup, la machine ne résout plus automatiquement le contexte de domaine.

Si l'erreur 1326 persiste avec le bon format de compte, vérifier si LmCompatibilityLevel est absent du registre (DTLknowsWhy affichera null dans le snapshot). Une nouvelle installation Windows avec la clé absente utilise le défaut système (NTLMv2 uniquement), que certains serveurs ou configurations Workgroup anciens peuvent rejeter.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" `
  -Name LmCompatibilityLevel -Value 1 -Type DWord
# Redémarrage requis

La valeur 1 active la négociation LM+NTLM+NTLMv2. Si cela résout le problème, le serveur cible n'accepte pas NTLMv2 seul.

5.4 — TCP 445 bloqué : net view erreur 53 par IP

Test-NetConnection IP_CIBLE -Port 445

Si TcpTestSucceeded : False, procéder aux vérifications ci-dessous.

sc query lanmanserver

Si pas Running : sc start lanmanserver

Vérifier que la règle entrante pour le port TCP 445 existe et est activée. Test facile : désactiver temporairement le pare-feu Windows sur la cible et réessayer. Si l'accès est rétabli, le pare-feu est la cause. Réactiver le pare-feu et créer la règle entrante appropriée.

Si ping NOM_MACHINE résout vers une adresse IPv6 link-local (fe80::...), cela ne confirme pas que SMB est accessible sur IPv4. Toujours vérifier avec ping -4 NOM_MACHINE pour obtenir l'adresse IPv4, puis tester Test-NetConnection IP -Port 445.

5.5 — La découverte réseau se désactive toute seule

Get-NetFirewallRule | Where-Object {
    $_.DisplayGroup -like '*Network Discovery*' -or
    $_.DisplayGroup -like '*Découverte*'
} | Select-Object DisplayName, DisplayGroup, Enabled

Si seules des règles Wi-Fi Direct apparaissent et qu'aucune règle du groupe « Découverte du réseau » n'est listée, les règles ont été supprimées (pas seulement désactivées). Cela peut se produire après un durcissement de sécurité, une GPO ou un outil de sécurité tiers.

# Windows en français
netsh advfirewall firewall set rule group="Découverte du réseau" new enable=Yes

# Windows en anglais
netsh advfirewall firewall set rule group="Network Discovery" new enable=Yes

Si la commande signale « Aucune règle ne correspond aux critères spécifiés », les règles ont été entièrement supprimées. Réinitialiser le pare-feu aux paramètres par défaut ou importer les règles depuis une machine saine. Si les règles réapparaissent mais que la case repasse à désactivée au bout de quelques minutes, un outil de sécurité tiers (ex. un EDR ou antivirus) réapplique une stratégie. Identifier l'outil et configurer une exception.

Exécuter gpresult /r. Si « Type de domaine » affiche « Windows NT 4 » ou « Station de travail autonome » sans GPO listée, le problème n'est pas la Stratégie de groupe — c'est le pare-feu local ou un outil de sécurité.