¿RRAS se cae en Windows Server Datacenter 2025 al habilitar una VPN? Si ves errores de svchost.exe_RemoteAccess y el módulo defectuoso ipnathlp.dll con código 0xc0000005, aquí tienes el diagnóstico, la solución definitiva (parche) y mitigaciones seguras para mantener tu servicio operativo.
Resumen de la pregunta
Tras instalar Windows Server Datacenter 2025 en un VPS y habilitar RRAS para VPN, los servicios Routing and Remote Access (RemoteAccess) y Remote Access Connection Manager (RasMan) se detienen repetidamente poco después de iniciarse. El Visor de eventos reporta fallos de svchost.exe_RemoteAccess con el módulo defectuoso ipnathlp.dll (código de excepción 0xc0000005). La misma topología funciona correctamente en Windows Server Datacenter 2022. Se pregunta si es un problema conocido, si existe parche y qué pasos seguir.
Diagnóstico y causa probable
- Problema conocido en Windows Server Datacenter 2025: una regresión en el componente
ipnathlp.dll(NAT de RRAS) puede provocar caídas de RRAS/RasMan al activar NAT o en escenarios que lo cargan indirectamente (por ejemplo, VPN con interfaz pública marcada para NAT). - Firma típica: error de aplicación en
svchost.exe_RemoteAccess, módulo defectuosoipnathlp.dll, excepción0xc0000005(violación de acceso), con detención del servicio RemoteAccess y dependencia RasMan. - Alcance: afecta a instalaciones “limpias” en VPS/virtualización y servidores bare-metal; no se reproduce en la misma configuración sobre Windows Server 2022.
Solución definitiva (recomendada)
Actualiza el servidor a la compilación más reciente que incluya el hotfix. En la Q&A se menciona la actualización KB5046617 (12‑nov‑2024) como corrección; instala esa y todas las actualizaciones acumulativas posteriores. Reinicia y valida que los servicios RRAS y RasMan permanecen estables.
Cómo aplicar la actualización
- Windows Update: en Settings → Windows Update, busca e instala todas las actualizaciones disponibles. Prioriza las acumulativas de noviembre de 2024 o posteriores.
- Instalación offline: si no hay salida a internet, descarga el paquete correspondiente (por arquitectura y edición) desde el Catálogo en una máquina con internet, súbelo al servidor y ejecútalo con un usuario con privilegios.
- Reinicio: reinicia el servidor cuando te lo solicite o de forma planificada fuera de horario productivo.
Verificación tras la actualización
Confirma que el hotfix esté instalado y que la versión de ipnathlp.dll haya cambiado respecto a la original:
# PowerShell (ejecutar como administrador)
Get-HotFix -Id KB5046617
(Get-Item "C:\Windows\System32\ipnathlp.dll").VersionInfo | Format-List FileVersion, ProductVersion
Reiniciar servicios para validar la estabilidad
Stop-Service RemoteAccess, RasMan -Force
Start-Service RemoteAccess
Comprobar estado
Get-Service RemoteAccess, RasMan | Select-Object Name, Status Mitigaciones temporales (si no puedes actualizar aún)
- Deshabilitar NAT en RRAS:
- Reconfigura RRAS con Custom Configuration → VPN access solamente (sin NAT).
- O bien, en IPv4 → NAT, quita la interfaz marcada como pública/NAT o desactiva Enable NAT on this interface.
- Mover la traducción a otro equipo: mantén el enrutamiento en RRAS y realiza NAT en el firewall/gateway de la nube (por ejemplo, NAT de la plataforma de tu VPS o un appliance virtual).
- Usar Windows Server 2022 en producción temporalmente con la misma topología hasta poder aplicar el parche en 2025.
Pasos recomendados de extremo a extremo
- Respaldar configuración: exporta la configuración actual de RRAS y la lista de adaptadores/redes.
- Aplicar actualizaciones: instala KB5046617 y acumulativas posteriores.
- Reiniciar y validar:
- Reinicia el servidor.
- Inicia RRAS y verifica que no se detiene.
- Establece una conexión VPN de prueba y transfiere tráfico.
- Si todavía falla: elimina o deshabilita la configuración de NAT; reintenta. Si con NAT deshabilitado deja de fallar, has aislado el detonante en
ipnathlp.dll. - Escalada/soporte: recopila volcados y eventos para soporte técnico.
Síntomas y evidencias (qué anotar)
| Fuente | Indicador | Ejemplo |
|---|---|---|
| Visor de eventos → Application | Error de aplicación | Faulting application name: svchost.exe_RemoteAccess; Faulting module: ipnathlp.dll; Exception code: 0xc0000005 |
| Visor de eventos → System | Servicio se detuvo | RemoteAccess service terminated unexpectedly; RasMan también se detiene por dependencia |
| MMC RRAS | Fallo al iniciar | RRAS inicia, pero se detiene al cargar NAT o al marcar la interfaz pública |
| Comparativa de versión | 2022 vs 2025 | Misma topología funciona en Windows Server 2022; falla en 2025 sin parche |
Procedimiento de aislamiento del detonante
- Iniciar RRAS “solo VPN”:
- Detén RRAS.
- En Routing and Remote Access, Disable Routing and Remote Access.
- Configure and Enable → Custom configuration → VPN access (sin NAT).
- Inicia RRAS y prueba. Si ya no se cae, el problema se asocia a NAT.
- Interfaz pública: si necesitas salida a internet, haz NAT en el firewall o gateway de la nube y no marques NAT en RRAS.
- Drivers de terceros: verifica que no existan filtros NDIS, antivirus, o clientes VPN de terceros en este servidor “limpio”.
Recopilación de evidencias para soporte
Activa volcados de svchost.exe y revisa trazas de RemoteAccess:
REM CMD (administrador)
md C:\Dumps
reg add "HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\svchost.exe" /v DumpType /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\svchost.exe" /v DumpFolder /t REGEXPANDSZ /d C:\Dumps /f
REM Reinicia servicios para provocar el volcado controlado
sc stop RemoteAccess
sc start RemoteAccess </code></pre>
<p>Además, revisa:</p>
<ul>
<li>Registros <em>Application</em>, <em>System</em> y el canal <em>RemoteAccess</em> en el Visor de eventos.</li>
<li>Estado de dependencias: <code>RasMan</code>, <code>EventSystem</code>, <code>RemoteRegistry</code> (según configuración).</li>
<li>Componentes de red cargados:
<pre><code># PowerShell
Get-NetAdapterBinding -AllBindings | Where-Object {$_.Enabled -eq $true} |
Sort-Object -Property Name |
Format-Table Name, DisplayName, ComponentID
Checklist de resolución rápida
- ❏ ¿Instalaste KB5046617 y todas las acumulativas posteriores?
- ❏ ¿Reiniciaste el servidor tras la instalación?
- ❏ ¿Verificaste la versión de
ipnathlp.dll? - ❏ ¿Arranca RRAS sin NAT? (si sí, el detonante es NAT).
- ❏ ¿Temporalmente mueves NAT al firewall/gateway de la plataforma?
- ❏ ¿No hay drivers/filtros de terceros en la pila de red?
- ❏ ¿Recopilaste volcados y eventos si persiste?
Preguntas frecuentes
¿Es un problema conocido en Windows Server 2025? Sí. Se han reportado caídas de RRAS ligadas a ipnathlp.dll al activar NAT.
¿Es un bug de ipnathlp.dll/Remote Access? Los síntomas y el código 0xc0000005 apuntan a una regresión en el componente NAT de RRAS.
¿Existe parche o configuración adicional? Sí. Instala KB5046617 (12‑nov‑2024) y las acumulativas posteriores. No se requiere configuración adicional más allá de actualizar y reiniciar.
¿Qué hago si no puedo actualizar ahora? Desactiva NAT en RRAS y realiza la traducción en otro dispositivo o gateway. Alternativamente, usa Windows Server 2022 para producción mientras preparas la ventana de mantenimiento.
Procedimientos prácticos
Reiniciar y recuperar RRAS vía PowerShell
# PowerShell (administrador)
Forzar detención para limpiar estados inconsistentes
Stop-Service RemoteAccess, RasMan -Force
Arranque limpio
Start-Service RemoteAccess
Si necesitas que RRAS se recupere automáticamente ante fallos
sc.exe failure RemoteAccess reset= 86400 actions= restart/600/restart/600/restart/600 Volver a la configuración “solo VPN” (sin NAT)
- Abre Routing and Remote Access (rrasmgmt.msc).
- Click derecho en el servidor → Disable Routing and Remote Access.
- De nuevo click derecho → Configure and Enable.
- Selecciona Custom configuration → marca VPN access solamente (no marques NAT ni Routing).
- Finaliza el asistente e inicia RRAS.
Validación funcional tras el parche
- Conecta un cliente VPN (L2TP/IPsec, SSTP o IKEv2 según tu despliegue) y transfiere tráfico real.
- Comprueba que el servicio no se detiene y que el registro deja de generar errores de
ipnathlp.dll. - Si reactivas NAT, monitoriza durante al menos 15–30 minutos bajo carga.
Tabla de decisiones (según restricción/urgencia)
| Situación | Acción recomendada | Riesgo/interrupción |
|---|---|---|
| Puedes programar reinicio hoy | Instalar KB5046617 + acumulativas → reinicio → validar | Baja (mantenimiento planificado) |
| Sin ventana de mantenimiento | Desactivar NAT en RRAS, mantener VPN; mover NAT a gateway externo | Muy bajo (cambio de ruta de salida) |
| Entorno productivo crítico | Rollback a Windows Server 2022 temporalmente | Medio (cambio OS/controlado) |
Apéndice A: Script “rápido” de salud RRAS
Este script recopila estado de parches, versión del módulo NAT, estado de servicios y errores recientes.
# Guardar como Check-RRASHealth.ps1 y ejecutar como administrador
Write-Host "=== Hotfixes esperados ==="
"KB5046617" | ForEach-Object {
try {
\$hf = Get-HotFix -Id $\_ -ErrorAction Stop
Write-Host ("{0} instalado: {1}" -f \$*, \$hf.InstalledOn)
} catch {
Write-Warning ("{0} NO encontrado" -f \$*)
}
}
Write-Host "\`n=== Version de ipnathlp.dll ==="
\$ipnat = Get-Item "C:\Windows\System32\ipnathlp.dll" -ErrorAction SilentlyContinue
if (\$ipnat) {
\$ver = \$ipnat.VersionInfo
"{0} ProductVersion={1} FileVersion={2}" -f \$ipnat.FullName, \$ver.ProductVersion, \$ver.FileVersion
} else {
Write-Warning "ipnathlp.dll no encontrado (ruta inesperada)"
}
Write-Host "\`n=== Servicios RRAS/RasMan ==="
Get-Service RemoteAccess, RasMan | Select-Object Name, Status, StartType | Format-Table -AutoSize
Write-Host "\`n=== Eventos recientes (Application/System) ==="
\$since = (Get-Date).AddHours(-4)
Get-WinEvent -FilterHashtable @{LogName='Application'; StartTime=\$since} -MaxEvents 200 |
Where-Object { $\.Message -match 'svchost.exe\RemoteAccess|ipnathlp.dll|RemoteAccess' } |
Select-Object TimeCreated, Id, ProviderName, LevelDisplayName, Message
Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=\$since} -MaxEvents 200 |
Where-Object { $\_.Message -match 'RemoteAccess|RasMan' } |
Select-Object TimeCreated, Id, ProviderName, LevelDisplayName, Message Apéndice B: Matriz mínima de pruebas de regresión
| Escenario | NAT | Resultado esperado | Observaciones |
|---|---|---|---|
| VPN IKEv2 en WS2025 (parcheado) | ON | RRAS estable >= 30 min bajo tráfico | Sin errores ipnathlp.dll |
| VPN IKEv2 en WS2025 (sin parche) | ON | Caída de RRAS | Error 0xc0000005 en svchost.exe_RemoteAccess |
| VPN IKEv2 en WS2025 (sin parche) | OFF | RRAS estable | Confirma detonante en NAT |
| VPN IKEv2 en WS2022 | ON | RRAS estable | Topología base de referencia |
Apéndice C: Buenas prácticas para RRAS en VPS/Nube
- Interfaces claras: separa interfaz pública (WAN) de la privada (LAN/VPN); evita bridges innecesarios.
- Gateway externo: si la plataforma ofrece NAT/salida administrada, úsala en vez del NAT de RRAS hasta aplicar el parche.
- MTU y offloading: con VPN y NAT, ajusta MTU/fragmentación y evalúa desactivar offloads problemáticos (LRO/TSO) si observas reenvíos truncados.
- Filtros/antivirus: evita instalar AV o filtros NDIS que insertan hooks en el datapath de RRAS.
- Auditoría: registra cambios de RRAS y red con control de configuración (scripts/plantillas) para revertir rápidamente.
Errores comunes (y cómo evitarlos)
- Confiar en reinicios repetidos sin parche: el servicio volverá a fallar cuando NAT se cargue.
- Reciclar perfiles VPN del cliente: no soluciona un crash del servicio en el servidor.
- Activar NAT “por si acaso” cuando el gateway externo ya hace NAT: genera doble NAT innecesario y activa el componente defectuoso.
Respuestas directas a las preguntas
- ¿Problema conocido en Server 2025? Sí; se han reportado caídas de RRAS ligadas a
ipnathlp.dll. - ¿Bug en
ipnathlp.dll/Remote Access? Los síntomas y el código0xc0000005lo respaldan. - ¿Parches o configuración adicional? Sí: instala KB5046617 (12‑nov‑2024) y acumulativas posteriores. No se requiere configuración extra tras actualizar.
- ¿Qué hacer para resolver/depurar? Actualizar primero; mientras tanto, desactivar NAT en RRAS o mover el NAT a otro dispositivo; validar con pruebas sin NAT; si persiste, capturar volcados y revisar eventos.
Conclusiones
Las caídas de RRAS en Windows Server Datacenter 2025 con ipnathlp.dll como módulo defectuoso están asociadas a una regresión del NAT de RRAS. La solución definitiva es aplicar la actualización que corrige el componente (KB5046617 y acumulativas posteriores). Si no puedes actualizar de inmediato, desactiva NAT en RRAS y haz la traducción en un gateway externo, o mantén Windows Server 2022 en producción temporalmente. Tras actualizar, verifica la versión del archivo, reinicia servicios y realiza pruebas de carga controladas para confirmar estabilidad.
Comandos de referencia rápida
# Ver hotfix
Get-HotFix -Id KB5046617
Ver versión de ipnathlp.dll
(Get-Item "C:\Windows\System32\ipnathlp.dll").VersionInfo
Reiniciar RRAS y RasMan
Stop-Service RemoteAccess, RasMan -Force
Start-Service RemoteAccess
Habilitar volcados de svchost.exe
reg add "HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\svchost.exe" /v DumpType /t REG\_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\svchost.exe" /v DumpFolder /t REG\EXPAND\SZ /d C:\Dumps /f Si sigues estos pasos, deberías recuperar la estabilidad de tu servidor VPN con RRAS en Windows Server 2025 y evitar caídas relacionadas con ipnathlp.dll.