Tras promover una máquina virtual Windows Server 2019 alojada en Hyper‑V a controlador de dominio, el host pierde la capacidad de hacer ping o conectarse por RDP. Este artículo explica por qué sucede, cómo diagnosticarlo paso a paso y las mejores soluciones y prácticas para evitar que vuelva a ocurrir.

Resumen del escenario

Instalas Windows Server 2019 en Hyper‑V y, al principio, tu equipo anfitrión con Windows 10 Pro puede comunicarse sin problemas: los pings responden y la sesión RDP se inicia al instante. Sin embargo, tras reiniciar la VM y ejecutarla como primer domain controller (DC1.local), el host deja de alcanzarla. Los síntomas son:

• La VM sigue navegando por Internet y llega a la puerta de enlace.
• El host también mantiene la salida a Internet y puede llegar al mismo gateway.
• Otras máquinas en la red —por ejemplo, una VM Linux en un hipervisor distinto— responden sin dificultad al servidor.
• Desde Hyper‑V Manager continúas accediendo a la consola de la VM, pero la comunicación de red directa con el host se corta.

Por qué se rompe la conectividad al convertir el servidor en DC

Cambio automático al perfil de Firewall “Dominio”

Al promover el equipo a controlador de dominio, Windows asigna el perfil de firewall “Dominio” a la interfaz. Para el servidor, cualquier estación que no pertenezca a ese dominio —por ejemplo, tu host aún en grupo de trabajo— es “externa”; por defecto, el perfil Dominio bloquea las solicitudes ICMP y restringe los puertos de administración remota como 3389/TCP.

Conmutador virtual externo sin compartir con el sistema operativo de administración

En Hyper‑V es frecuente crear un conmutador virtual externo. Si durante la creación desmarcas la casilla “Permitir que el sistema operativo de administración comparta este adaptador de red”, el host queda aislado de la red virtual donde viven las VMs. Antes de instalar el rol de DC quizá funcionaba por las rutas ARP en caché, pero tras el reinicio los segmentos se aíslan.

Reconfiguración de DNS o IP tras el promo

Durante el asistente Active Directory Domain Services Configuration Wizard, Windows recomienda asignar IP estática y apuntar el DNS preferido a la propia dirección del nuevo DC. Si se crea una segunda NIC virtual o se restaura DHCP por error, la VM puede terminar en una subred distinta a la del host.

Tabla de problemas más frecuentes y su solución

Problema probable	Por qué ocurre	Cómo resolverlo
Perfil de Firewall “Dominio” activo	El host no forma parte del dominio y el servidor bloquea ICMP y RDP.	Unir el host al dominio o crear reglas que permitan ICMP y RDP en el perfil Dominio.
Conmutador virtual externo sin acceso para el host	La casilla Allow management OS está desactivada.	Activar la opción en el Administrador de Conmutadores Virtuales (reconexión breve).
Reconfiguración de red tras la promoción	Se cambia DNS/IP o se agrega una NIC adicional que queda sin configurar.	Verificar que la NIC mantiene IP estática correcta y sigue unida al conmutador externo.

Diagnóstico paso a paso

Comprobar el perfil de firewall con PowerShell

# Mostrar perfiles activos
Get-NetFirewallProfile

Desactivar temporalmente solo el perfil Dominio

Set-NetFirewallProfile -Profile Domain -Enabled False

Si tras el segundo comando el host vuelve a responder a pings o se restablece RDP, has confirmado que el origen del bloqueo es el firewall.

Validar la configuración del conmutador virtual

# Listar conmutadores
Get-VMSwitch | Format-Table Name,SwitchType

Ver si el conmutador permite al host

Get-VMSwitch -Name "Conmutador externo" | Select-Object AllowManagementOS

Si AllowManagementOS es False, edita el conmutador en Hyper‑V Manager y marca la casilla. El cambio reinicia el adaptador físico, por lo que perderás conectividad unos segundos.

Analizar tablas ARP y rutas en ambos extremos

# En el host
arp -a
route print 0.0.0.0

En la VM (PowerShell como administrador)

arp -a
Get-NetRoute -DestinationPrefix 0.0.0.0/0

Confirma que la puerta de enlace es la misma y que ambas máquinas se anuncian en la misma VLAN o subred.

Evaluar desde otro dispositivo en la misma LAN

Si un PC físico distinto logra hacer ping al DC, el problema es específico del vínculo host ↔ VM. Esto apunta de nuevo al AllowManagementOS o a reglas de firewall.

Unir el host al dominio

Una vez añadido al dominio y reiniciado, el perfil de red del host también se convertirá en “Dominio”, por lo que las reglas por defecto permitirán tráfico RDP, DFS, SMBv2 y otros servicios esenciales de administración.

Soluciones detalladas

Ajustar las reglas de firewall de manera permanente

En lugar de desactivar todo el perfil Dominio, crea excepciones granulares:

• Permitir ICMPv4 Entrada (Echo Request).
• Permitir Escritorio Remoto (TCP 3389) en los tres perfiles (Doméstico, Público y Dominio).
• Añadir reglas para PowerShell Remoting (TCP 5985/5986) si administras por WinRM.

# Permitir ICMP entrante
New-NetFirewallRule -DisplayName "Allow ICMPv4 In" -Protocol ICMPv4 -IcmpType 8 -Direction Inbound -Action Allow -Profile Domain

Permitir RDP entrante

Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Configurar adecuadamente el conmutador externo

1. Abre Hyper‑V Manager → Virtual Switch Manager.
2. Selecciona el conmutador External que usa la VM.
3. Marca Allow management operating system to share this network adapter.
4. Aplica y acepta el mensaje de reconexión.

Revisar la configuración IP después del ascenso a DC

Asegura que la interfaz sigue con IP correcta:

Get-NetIPAddress -InterfaceAlias "Ethernet" |
  Select-Object IPAddress,PrefixLength,InterfaceAlias,AddressFamily

Cambiar DNS si fuese necesario:

Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses ("192.168.1.10","8.8.8.8")

Buenas prácticas y prevención futura

• Antes de instalar el rol de AD DS, documenta la configuración de red y toma un checkpoint de la VM.
• Mantén una NIC física dedicada al tráfico del host y otra al conmutador externo de Hyper‑V. Así, cualquier fallo en la red virtual no afectará al sistema operativo de administración.
• Automatiza la creación de reglas de firewall en un script DSC o GPO para evitar olvidos al promover nuevos controladores de dominio.
• Incluye ICMP en las listas de control de acceso internas: es la herramienta de diagnóstico más simple y suele deshabilitarse inadvertidamente al aplicar endurecimientos de seguridad.
• Al volver a habilitar RDP en un DC, restringe el acceso por grupos (por ejemplo, Domain Admins) y activa Network Level Authentication.

Preguntas frecuentes

¿Puedo desactivar permanentemente el firewall en un controlador de dominio?

No se recomienda. El firewall protege servicios críticos como Kerberos, LDAP y replicación SYSVOL. En su lugar, añade reglas específicas.

¿Qué puertos debo abrir además de ICMP y RDP?

Típicamente:

• LDAP: 389/TCP, 389/UDP
• SMB: 445/TCP
• Kerberos: 88/TCP, 88/UDP
• DNS: 53/TCP y UDP

Si harás replicación entre DCs, asegúrate de permitir RPC dinámica (un rango alto, 49152‑65535/TCP).

¿El problema puede ocurrir en VMware o Proxmox?

Sí, cuando la barrera está en el firewall de Windows Server. Sin embargo, si la causa raíz es el conmutador virtual, dependerá del hipervisor: cada uno maneja distinto el vSwitch y la compartición con el host.

Conclusión

Perder el acceso desde el host hacia una VM Windows Server 2019 tras convertirla en controlador de dominio es un contratiempo habitual pero evitable. En la mayoría de los casos está ligado al cambio automático de perfil de firewall y a una configuración inapropiada del conmutador virtual de Hyper‑V. Siguiendo la guía de diagnóstico —revisar el perfil Dominio, comprobar AllowManagementOS, validar IP y DNS— podrás restaurar la conectividad en minutos y adoptar medidas que impidan que el problema se repita en futuras instalaciones.