Fijar perfil de red privado en VLAN de Windows Server 2022 tras reinicio

¿Cada vez que reinicias tu servidor Windows Server 2022 las interfaces VLAN vuelven a marcarse como «Red pública» y tu software de copia de seguridad deja de comunicarse? En esta guía aprenderás por qué ocurre y varias formas comprobadas de fijar el perfil «Privado» de manera permanente.

Antecedentes

Desde Windows Vista, el servicio Network Location Awareness (NLA) clasifica cada red en uno de tres perfiles:

• Público (estricto, pensado para cafeterías/redes no confiables)
• Privado (hogar u oficina pequeña)
• Dominio (se detecta automáticamente cuando el controlador de dominio responde)

En instalaciones con NIC Teaming y subinterfaces VLAN, NLA evalúa cada VLAN como una red independiente. Cuando algún criterio no se cumple —por ejemplo, no se encuentra al DC o un agente de seguridad fuerza una política— la interfaz se marca como «Pública».

Síntomas observados

• Tras cada arranque, Get-NetConnectionProfile muestra el valor Public para todas o algunas VLAN.
• Las reglas de firewall configuradas para «Privado/Dominio» dejan de aplicar y el software de backup no puede abrir sus puertos.
• El cambio manual del perfil mediante GUI, PowerShell o el registro solo dura hasta el siguiente reinicio.

Por qué ocurre

Los factores más frecuentes son:

1. Timeout de NLA: si el servicio arranca antes de que la pila de red obtenga dirección IP, declara la conexión «indeterminada» y aplica el perfil más restrictivo.
2. Software de seguridad de terceros: algunos EDR redefinen la categoría al estilo de sus propias políticas.
3. Driver de NIC Teaming o VLAN anticuado: cualquier desconexión momentánea provoca que Windows re‑cree la interfaz y le asigne un nuevo GUID con la configuración predeterminada.

Evaluación inicial

Antes de aplicar cambios permanentes, conviene tomar una fotografía del estado actual:

Get-NetConnectionProfile |
    Format-Table -Auto Name,InterfaceAlias,NetworkCategory,IPv4Connectivity

Anota cuales VLAN aparecen como «Public» y el GUID interno de cada una:

Get-NetAdapter |
    Select-Object Name,InterfaceDescription,InterfaceGuid

Soluciones permanentes

Método de registro protegido

1. Inicia regedit.exe y navega hasta HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles.
2. Dentro encontrarás varias subclaves con un GUID. En cada una, revisa el ProfileName; cuando coincida con la VLAN afectada, edita Category a:
   • 1 = Privado
   • 0 = Público
3. Haz clic derecho ▸ Permisos y luego Avanzado. Cambia el propietario a Everyone y concede solo «Lectura». Así ningún servicio podrá revertir el valor.
4. Si prefieres un enfoque reproducible, el siguiente script crea la ACL por ti (ajusta el GUID):

$guid = '{5e6fdb60‑f2d4‑11ed‑abc4‑00155d010104}'
icacls "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\$guid" /inheritance:r
icacls "HKLM\...Profiles\$guid" /grant:r "Everyone":(R) /T

Ventaja: no requiere dominio ni componentes adicionales. Inconveniente: si cambias de VLAN o reinstalas drivers, puede que Windows genere un GUID nuevo y debas repetir el proceso.

Política de Grupo

En entornos con Active Directory basta con definir una GPO:

1. Editor de Políticas ▸ Computer Configuration ▸ Windows Settings ▸ Security Settings ▸ Network List Manager Policies.
2. Selecciona la VLAN (o All unidentified networks) y marca la opción «Location type: Private».

La directiva se re‑aplica cada 90 minutos; ni un agente externo podrá anularla.

Script de PowerShell en inicio

Si no quieres tocar el registro, programa una tarea que se ejecute al arrancar con privilegios de sistema:

$vlans = Get-NetConnectionProfile | Where InterfaceAlias -like 'VLAN*'
foreach ($v in $vlans) {
    if ($v.NetworkCategory -ne 'Private') {
        Set-NetConnectionProfile -InterfaceIndex $v.InterfaceIndex -NetworkCategory Private
    }
}

Asegúrate de activar «Ejecutar cuando ningún usuario haya iniciado sesión» para que se dispare antes de que servicios dependientes del firewall comiencen.

Eliminar interferencias de terceros

Desinstala temporalmente cualquier antivirus/EDR y reinicia. Si el perfil permanece en «Privado», habrás identificado al responsable. La mayoría de fabricantes permiten crear una excepción que preserve la categoría establecida por el administrador.

Actualizar drivers y NLA

• Instala el firmware más reciente de tu tarjeta y el paquete Intel AN S / Broadcom BACS / Marvell AQtion correspondiente.
• Si usas NIC Teaming, revisa que todas las VLAN tengan la misma puerta de enlace y métricas coherentes.
• Verifica que el servicio NlaSvc no esté retrasado; su modo debería permanecer en «Auto» sin delayed‑start.

Comparativa de métodos

Método	Qué hace	Ventajas	Observaciones
Registro protegido	Fuerza categoría Privado valorando Category=1	No requiere AD Protección contra sobrescritura	Nuevas VLAN generan otro GUID
PowerShell manual	Set‑NetConnectionProfile	Rápido y scriptable	Se revierte si otro proceso reevalúa NLA
GPO	«Network List Manager Policies»	Centralizado, auditable	Requiere dominio
Tarea programada	Ejecuta script al arranque	Funciona incluso en Core Edition	Ralentiza ligeramente el inicio

Verificación posterior

Una vez aplicada tu solución predilecta:

1. Reinicia el servidor.
2. Ejecuta:

Get-NetConnectionProfile |
  Format-Table Name,InterfaceAlias,NetworkCategory

Si cada VLAN muestra «Private», el firewall aplicará las reglas correctas y tu software de copia de seguridad volverá a operar sin interrupciones.

Preguntas frecuentes

¿Puedo forzar directamente el perfil «Dominio»?

No. Windows solo asigna «Dominio» cuando valida la pertenencia a AD mediante Kerberos. Si el DC no responde rápido, usa «Privado» para evitar los bloqueos.

¿Qué ocurre si clono la máquina?

Al generar nuevos GUID de NIC, Windows creará claves de perfil diferentes. Incorpora el script de inicio o una GPO para cubrir escenarios de aprovisionamiento masivo.

¿Afecta a IPv6?

No. El perfil se asocia a la interfaz, no al protocolo. Cambiar la categoría cubre tráfico IPv4 e IPv6 simultáneamente.

¿Puedo auditar quién cambia el perfil?

Activa la directiva «Audit Network Category Changes» en Advanced Audit Policy. Los eventos 4142 aparecerán en el log de Seguridad con el SID del proceso infractor.

Conclusión

El cambio inesperado de «Privado» a «Público» en interfaces VLAN es más común de lo que parece en Windows Server 2022. Con los métodos descritos —desde la modificación del registro hasta políticas de grupo y scripts de arranque— dispones de varias estrategias para blindar el perfil de red y garantizar que tus reglas de firewall permanezcan intactas tras cada reinicio.